ウイルスが「乱数表」を丸写し

　不正送金の手口はこうだ。

　Ａさんは取引先の口座にお金を振り込もうと、銀行のサイトを開いた。指示に従いパスワードを入力し、続いて銀行から送付された乱数表を使って「第２暗証番号」を打ち込む画面に移った。

　すると、別ウインドウ（ポップアップ）が立ち上がり、ＩＤのほか、乱数表の番号全部を入力するよう指示された。Ａさんは指示通りに入力したが、数日後、身に覚えのない送金が発覚した。

　このパソコンはもともとウイルスに感染しており、そのウイルスが、ポップアップを表示させ、パスワード、乱数表の番号などを不正送金の犯人に送信していた。

　かつて、ネットバンキングの不正送金は、偽のショッピングサイトをつくって虚偽の取引で送金させる「フィッシングサイト」など単純な“やり口”だった。しかし、Ａさんのケースでは、犯罪の「悪質性」が増している。

　Ａさんが、ネットバンキングサイトにアクセスしたことでウイルスの活動が始まり、正規のサイトにアクセスしたにもかかわらず、お金を盗まれてしまったのだ。

　のぞき見も

　金融機関関係者によると、ウイルス感染による被害には、安全度が高いはずの「ワンタイムパスワード」が読み取られたと思われるケースもあるという。

　ワンタイムパスワードは取引１回ごとや、有効期限付きでパスワードを発行する仕組み。取引のたび、または短時間でパスワードが変更されるため、セキュリティー性は比較的高いとされてきた。

　しかし、システム内に潜伏し、一見正常に作動しているように装いながらパソコンの操作状態や画面を監視する「スパイ型」ウイルスが登場。金融機関やネット取引業者などからメールで送られてきたワンタイムパスワードをこっそり“盗み見”し、悪意の第三者に送信している疑いがあるという。

　警察庁によると、ネットバンキングの不正送金被害は今年１～７月で３９８件、被害金額は約３億６０００万円にのぼり、これまで最悪だった平成２３年の１６５件、約３億８００万円をすでに上回っている。

　ウイルスの被害が急増したのは昨年の後半。セキュリティー大手トレンドマイクロの調査では、ウイルスに感染したパソコンの大半が日本に集中しているという。日本国民の預金が狙われているのだ。

　お金は返ってくるのか

　盗られたお金は銀行から戻ってくるのか。結論からいえば、銀行への請求は可能だ。ただ、全国銀行協会（全銀協）の申し合わせによるもので、法的な根拠はない。

　「預金者保護法」（１８年施行）は、偽造キャッシュカードによる不正引き出しや通帳盗難などで、過失がない預金者の被害を金融機関が負担する法律だが、全銀協はネットバンキングの不正送金について、対象外という認識だ。

　ただ、全銀協は２０年２月、ネットバンキングの不正送金被害について、預金者に過失がない場合は全額を補償し、過失があった場合も、過失度合いなどを考慮して個別に対応することを申し合わせている。

　実際、全銀協会員である金融機関が、不正送金の被害者に対して対応を決定した全件数のうち、補償を行った件数の割合（補償率）は、２３年度が９６．５％、２４年度が９１．７％、と、決して低くはない。

　しかし、過失の度合いの判断基準はない。全銀協は「『セキュリティーソフトが入っているか』『あからさまに怪しいメールを開封していないか』など、被害者の状況が無限に細分化されるので、基準を明確化するのは困難だ」と説明する。

　憎むべきなのは犯人だが、預金者側も“防衛意識”を高めなければならない。

　セキュリティーソフトの導入、怪しげなサイトを見ないこと、取引銀行の注意喚起の熟読…。預金者は自らの資産を守るため、こうした対策を面倒くさがらないようにすべきだろう。

（平岡康彦）