ネットバンキングという自己責任のリスク
三井住友銀行が「乗っ取り型ウイルスを確認」「利用者に注意喚起」なんていう報道やネットでの記事がけっこう出てる。私はこれって、注意喚起なんていうレベルなの?とけっこう驚いています。
ネットバンキングを使ってる人が少ないのか、それとも被害にあったのがネットで発信したりしない人たちだからなのか、ぼんやりした意見しか出回ってない。
ちなみに私は、使っていません。
朝日新聞によればネットバンク不正深刻 三井住友銀、最新対策後も被害が出てるそうだから、かなり深刻だ。
なにより、正統なログイン後に「当行の画面を模倣した不正な画面」を出すというんだから、誰が見破れるんだろう。しかも上のリンク先にある不正な画面例として、こんなのが取り上げられている。まっとうな画面の上に表示されたら、なかなか気づけないのが普通だと思うんだけど。
三井住友銀行だけの問題じゃなくて
三菱東京UFJでも、こんなCMを盛んに流してた。
これはフィッシングサイトだから、ユーザーが本物のサイトかどうかを見破れば、防止できると考えられる。え、見破れる?
私は大手IT企業、たぶんホスティングでは最大手だと思うけど、そこの支払い関係の管理画面が新しくなった、仕組みが新しくなったというメールが来たときリンク先に行ってみて、完全にフィッシングサイトじゃんと思った。
通常のその企業のサイトと比べて、横幅が異常に短いし、デザイナーの手がまったく入ってない。あくどいなぁと思って、過去のメールから問い合わせたら、本物だった(笑) しかもその当時は、表示は出来ても動作はMacに対応していないというふざけたもの。問い合わせたメールでは、ユーザーが必ずその画面から自分で入力してくれというものだった。
今ではさすがにMac対応はしているけど、ページ自体は何ら変わらないインチキ臭いもの。
そのことをシステム系の人と話してたら、まったく違和感がないということだった。それぐらい感覚的なところだと、人によって違いがある。
ネットバンキングを使うには、直感的にじゃなくて、注意深く、銀行の注意事項を読んで、ひとつひとつ確認しながら使わなきゃいけないっていけないってことね。いやぁ、どれだけいるでしょう(笑)
クレジット入力や銀行と直結したウェブサービス
ネットバンキングを狙い撃ちしたウイルスやフィッシング手法が数多く出回っているのは、それだけ利用者が多く、引っかかったときに詐取できるお金も大きいってことなんでしょう。
じゃあ、ネットバンキングを使わない人には関係ない? クレジットの番号なんて、ネットで買いものしたら、どこでも入力するじゃない。そればかりじゃなくネット証券だってあるし、今では銀行と直結させたおこずかい帳、家計簿的なサービスも出回ってきてる。
ネットバンキングユーザーが細心の注意を払うようになって、おいしい狩り場じゃなくなったらどうなるか。当然、新たな狩り場を探すだろうから、時間の問題かもしれない。というより、もうシフトしてると思ってた方がいいかもしれない。
問題は不正送金されものを銀行が補償してくれるかどうか
この手の不正送金の被害にあっても、法人の場合は補償してくれないけど、個人は補償されるから大丈夫じゃんという人もいる。
確かに報道でもそんなニュアンスのことを言っている。全国銀行協会というところでは以前から「経済取引のプロではないため」個人には保護が必要だと言っていたと伝えられてた。じゃあ、法人は「経済取引のプロ」なの? しかも「経済取引のプロ」である法人は、ネットバンキングでも万全の対応を取るのが当たり前で、銀行には責任がないと(笑)
いろんなことが考えられるけど、じゃあ個人事業主は個人なのか法人なのか、どっちだよ。私は個人事業主は自分でやらなきゃいけないから、ネットバンキングを使っている可能性が高いと思うんだけどな。
ノマドを名乗っている人たちは、Mac book Airを使ってどこでも仕事してるのが象徴的なスタイルだから、ネットバンキングどころか銀行とつないだ経理のウェブサービスを使っている可能性が高いんじゃない。
報道によれば12日、こんな風に出てる。
ネット不正送金、法人補償検討 全銀協 被害急増に対応 - SankeiBiz(サンケイビズ)
全国銀行協会は、補償などの対応策の検討を始めた。現在、個人の被害は補償しているが、大半の銀行で法人の被害を補償する仕組みは整っていないためだ。
警察庁によると、2013年のネットバンキングの不正送金による被害は個人名義の口座を中心に総額14億円を超えた。14年は法人被害の増加が目立ち、銀行関係者は「個人と合わせた被害額が昨年を上回って過去最悪を更新するかもしれない」と危機感を強める。
この中にも「個人の被害は補償しているが」と書かれている。でもこの記事の書き方は、どうも事実の報道だけじゃなく、全銀協への巧妙な擁護にも思えます。
私は以前から、「被害者だということを自分で証明できれば、補償しますよ」ってことだと捉えてた。
ある銀行の個人に対する補償に関しての文章を抜粋すると、
• パスワード等の盗取または不正な振込等に気づいてから速やかに、当行への通知が行われていること
• 当行の調査に対し、ご契約者より十分な説明が行われていること
• 警察署に被害届を提出していることその他盗取にあったことが推測できる事実を確認できるものを示すなど、被害状況、警察への通知状況等について当行の調査に協力していること
のすべてに該当する場合、利用規定にしたがって、損害額の全部または一部の補填をご請求いただくことが可能となります。
「利用規定にしたがって」ということなんだけど、利用規定に補填のことは書いていない(笑) いやあの、ここまでハッキリを出している銀行は少ないので良心的だと思うけど、「損害額の全部または一部の補填をご請求いただくことが可能」ってだけで、請求すれば補償するとはどこにも書いていない。銀行らしい(笑)
銀行に対して十分な説明とは、たぶん被害届を出していて、警察にパソコンを提出し警察が事実関係を証明してくれればということだということじゃないでしょうか。
ここで昨年誤認逮捕のあった事件を思い出してください。
別に警察のことを悪く言おうとか、銀行を貶そうとしてるわけじゃないけど、仮に個人に対して証明を求められるものなら、とてもじゃないけど無理。
これが逆に、「本人が送金したものだと銀行が証明できなければ、全額補償/返金するものとする」なら、ぜんぜん違ってくる。あれ、違ってくるかな?
たぶん銀行は、「パスワードを使っていれば本人だとみなす」ということだけだろうと思います(後述)。利用規約にはどんなところでも「パスワードを他人に教えるな。適切に管理しろ」と書いてあるから、それが契約。どんな状況でパスワードが盗まれようと、「適切な管理責任を怠った」と言えてしまう。パスワードを使えば、本人認定。
追加したとしてもIPアドレスでしょうけど、まさに上の誤認逮捕のようになってしまう。警察だってウイルスに感染しているかどうかは調べられるけど、それ以上はたぶん無理なんじゃないでしょうか。
さあ、このまま行くと、誰も補償されないという事態になりかねない。
仕組みが変わるかどうかは、国民の声ですけど
13年に被害額が14億円を超え、14年は「被害額が昨年を上回って過去最悪を更新するかもしれない」という危機感があるなら、当然、ネットバンキングを使ってくれる人が激減するという想像につながるでしょう。
だからこそ、全銀協も法人への補償を検討し始めたということですけど、個人への補償だって、やってますよと言いながら上に書いた通り。
それは銀行の立場に立って考えれば、「銀行だって被害者だ」「なぜ落ち度のある、ガードのゆるい利用者の被害を、銀行が救済しなきゃいけないんだ」ということになるでしょう。
たぶん法的には、それが正義でしょうし、契約を読めば当然ということになるでしょう。もし裁判で集団訴訟みたいなことになったとすれば、一点あるのは「銀行がリスクを説明したのかどうか」というところだけ。
投資の場合は、リスクも含めた重要事項を説明し、利用者が理解したかどうかの確認。確認と言ってもチェックを入れるだけですけど、そういうプロセスが必要になります。
もちろん投資以外の銀行取引では、そんなことを求められません。預貯金や送金等の銀行取引は、社会通念上もリスクがあるとは思われていないでしょう。
だけど銀行だって、こんなサイバー犯罪が想定できていたかどうか、という判断になりそうです。
原発事故だって、「科学的知見によれば、津波を予見することは不可能だった」としてしまえば、誰にも法的な責任はない。被害を受けた人には、道義的に対応しましょうとなるだけ。それと似ている。
ネットバンキングがスタートした時から、銀行はリスクを知っていましたよ
この記事で書いたようなことは、実は私が実際に銀行員に言ったようなことがほとんどなんです。ネットバンキングを薦められて、パンフレットを読むと、これってこういう場合に補償しないということですかとツッコむと「そうです」と答え、本人が使ったかどうかの認定はどうするんですかと聞くと「パスワードが使われていれば、本人だと判断します」という返事でした。
これ、ネットバンキングが始まった当初からですから、何年もの間に複数の人が同じように答えていました。2回目以降、私にとってはツッコミじゃなくて、ただの断り文句です。
かなり昔に書いたことですが、ダイヤルQ2の時代、奥さんから仕事中に「ダイヤルQ2を使ったか? NTTから問い合わせが来てる」という電話がかかってきました。まったく使ったことがないと答えて電話を切ったのですが、そのあと、NTTがすぐに来て電話線の工事をしたそうです。
それによると、電信柱からうちの電話線が取られていて使われていた。初めてダイヤルQ2が使われて、異常な金額になったので問い合わせてきたということでした。
ネットバンキングは最先端の暗号化技術を駆使してるから、途中から抜かれたとしても解読できない? 確かにそうかもしれませんが、通信している内容としてではなくキーボーのどこを打っているかを記録する方法なら、桁違いにカンタンそうです。
10年ほど前、満員電車内でサイフの中にあるキャッシュカードの情報をスキミングして、カードを偽造するという事件が多発しました。いまでは直接読み取り機が接触しないと不可能になったと言います。
それでもなくならないので、生体認証のキャッシュカードを導入、それ以外は引き出しも振込も低い限度額に制限するという対応になっています。つまり被害の額を小さくするということですね。今回の不正送金でも、送金額を制限するという対応になるしかないのかもしれません。
昨年はATMのキャッシュディスペンサー口に直接スキマーが取りつけられているケースがあったので、注意してくださいという銀行からのメッセージがあちこちに貼付けられていました。
破られない技術なんてない。ぐらいに思って、利便性とリスクを天秤にかけて、使うか使わないか。使うなら、どう使うかを考えるのが良さそうですよ。