ネットバンキング不正送金3.6億円超!蔓延する中国リスク!
警視庁が纏めた今年(2013年)1月~7月の不正送金被害額は3億6千万円に上った。気付かないもの、気付いても他人に言い難いものなど届出の無い被害もあるだろうから実態はこの数倍になるかもしれない。
送金先は600口座、中国人名が7割。日本人の名前でも中国人のケースもあるに違いない。中国は犯罪国家だから領土問題に限らず上から下まで悪い連中がたっぷりいる。これもチャイナリスクだ。人事面、業務提携、委託、調達、販売などどのプロセスであってもそこに中国あるいは中国人が絡んだらリスクとして評価と対策が必要であることは、ビジネスマンに限らず日本の日本人の常識です。
中国人に協力する日本人は更に始末が悪い。非国民だからね。
警視庁の取り組みは常に後手を引いている。国会議員がサボるから国が疲弊していく1つの事例だろう。
.*.
<中国リスク>チェックシート~チェック欄
ある組織では個人情報に関するリスクに異常に反応し、資産台帳の管理欄に個人情報であればチェックを入れたりしていた。社員に意識を持たせる意味では有効な取り組みだったろう。同様のことを「中国リスク」の欄を作ることで意識を高めリスク軽減に繋がるだろう。中国リスクが顕在する業種業務の場合はチェックシートを用意して更に具体的な対応を測る必要がある。
.*.
社員がネットバンキング犯罪の被害者になったら?
社員の私的なことに会社は関与しないのは建前です。社員が苦境に陥れば会社もリスクを抱えることになります。社員の健康管理に会社が注意を払うのは今時は当然です。社員のリスク管理に会社が注意を払うのも当然の時代になっています。余計なことに巻き込まれては困る訳です。
- セキュリティ教育が不十分な会社であることが世間にばれる。
- 社員が金に困って不正行為をするリスクが高まる。
ネットバンキングで注意すること(社員へも周知させるミニマム)
- パスワードをメールで連絡する場合、ファイル送付とパスワード連絡は別メールにするのは超常識。届く先は別デバイスにすることがこれからの常識。ファイルはパソコン、パスワードは携帯。
- ネットバンキングの場合、ワンタイムパスワードが送られてくるが送り先はパソコンのままだ。パソコンが乗っ取られていればパスワードの意味を成さない。
- 管理コストの問題はあるが従前のトークンカードの利用。某ノムラ証券はトークンサービスを提供していたが廃止してしまったのは残念。第二暗証カードなどと称するオフラインの情報を組み込むことは有効で良くやられてる。
- オフラインの仕組みを間違えて取り組んだ銀行(新生銀行など)は返ってリスクを高くしている。決済と関係しないログインレベルでも第2暗証を要求し、その後はノーチェック。まるで、玄関を開けたら中は金庫まで丸見え状態だ。新生銀行は何年か前にセキュリティ担当をリクルートしていたが適切な人材は得られなかったのだろう。
- 基本的なことだがウイルス感染に注意。特に「SpyEye(スパイアイ)」。これについてはIPAからも参考にすべき幾つかの案内が出ています。
http://www.ipa.go.jp/security/txt/2011/09outline.html
ウイルス感染の手口:
- ウエブサイト表示(閲覧)だけで感染する。古いバージョンのブラウザ利用。そういうサイトへの誘導にも要注意。怪しげなサイトに近づかないこと。
- メールに添付して送りつけて感染させる。古くて新しい手法。友人、組織内関係者、取引関係者などに扮するソーシャルエンジニアリング(社交的騙し技)を使う。議事録のチェック依頼、懇親会の写真、など。うっかり広げると感染。
- ドライブ・バイ・ダウンロード攻撃? 変なサイトを閲覧して、何かをダウンロードして、クリックでも使用ものならウイルス感染は必至。ところが、変なサイトかどうか分からない。本物に似せて作ったサイト、一見すると真面目に見えるサイトだから。ダウンロードは目的の音楽、画像、ツール類などだから普通にやってしまう。パソコンに取り込んでからのクリックも。最初に変なサイトに誘導されたらお終いだ。⇒閲覧画面とかメールとかのリンクはクリックしないで、自分で検索して目的のサイトに行くこと。
不正送金への備え:
- (最新状態のソフトウエア)
先ず、OS、ブラウザ、関連アプリを最新版にすること。更新版が出るときに古いOS,ブラウザ、アプリの脆弱性が 同時に報告されるので、犯罪者は敢えてその脆弱性に付け込んだウイルスを出してくる。古いバージョンであることがリスクを激増させる。 - (ウイルス対策)
ウイルス対策ソフトの導入。実績のないものはとりあえず避けておく。有料・無料はお金があればサービスリッチな有料版。複数のウイルス対策ソフトを入れると相互干渉が起きてシステムが正しく作動しないことも。 - (プロバイダーのウイルスチェックサービス)
特にスパムメールに関連してのサービスが普通。 - (添付ファイル)
メールの添付ファイルは開かない。クリックしない。文中のURLもクリックしない。どこへ飛ばされるかもしれません。 - (IDパスワード)
流用しない。最近ヤフーが大量のIDパスワードを漏洩させて大問題になっている。あちこちのサービスサイトで急激に不正アクセスが増えて被害も深刻になっている。ヤフーの無防備は会社の置かれたポジションを忘れた犯罪的なものだ。処罰されていないのが不思議でさえある。IDパスワードはサービスサイトが責任もって保護している前提を置いたら大きな間違いだ。最近はどのサービスもIDパスワードを要求するのでそれぞれ異なる無い様にするにはパスワード管理ツールを使うしかない。 - (ワンタイムパスワード)
ソフトで生成してメールで送られてくるタイプとトークンカードで生成されるタイプとある。後者はサーバー側との同期管理が面倒、全社はPCを乗っ取られたら無力化するので問題。もっともこれらはサービス提供者が勝手に決めることが多い。自分では選択できない。 - (口座管理)
日常的な口座管理で、残高・ログイン履歴に不確かなものがないかチェックする。ミニマム月1回。毎週末の作業項目としておくのも良いだろう。
ネットバンキングの注意事項
- 偽サイトへ誘導し、そこでパスワード、暗証番号などを入力する画面、ポップなどが表示される。気付かずに入力するとアウト。更にそのままにしていると最終的にもアウトになります。ネットの調子が悪いなどと放置しないで、正しくログインし、直ぐにパスワードを変更する。暗証番号は変えることが出来ないから銀行ヘルプセンターに電話して口座を止める。
.*.
<業界の怠慢?>
防御の仕組み、防御のツールはせっせと作るが、犯人を特定するための業界共同で取り組むような仕組みの開発には殆ど手が付いていないのではないか。何かしらのツールやルールを作って、OS、通信ソフト、サーバーアプリなどに組み込んで、不正の所在を突き止められるようにしなければいけない。業界は適当に危険であるほうが採算が良いと思っているわけではないだろう。
.*.
本気度を感じない警視庁の取り組み?
本気度を感じない警視庁の取り組み?
フィッシング110番
フィッシングに関する情報提供は、下記の番号までお願いします。
フィッシング110番 03-3431-8109
受付時間は、平日の午前8時30分から午後5時15分までです。
夜間及び祝日・土日は、相談業務を行っていません。
- フリーダイヤルにすべき。躊躇いなく連絡できる。有料電話番号にするのは、電話するなと言っている。
- 受付は平日の日中だけ。はっきり馬鹿としか言えない。帰宅してからパソコンを使う勤め人が被害にあっても直ぐには連絡できない。もしくは週末しかパソコンに触らない人も居る。そこで何かあっても週があけてからだ。いずれも後の祭りになるように警視庁が仕組んでいる。
- 警視庁がサイバー犯罪を軽視しているからこういう形になる。警視庁は中国の半日勢力と結託しているのだろうか。
.*.
不正送金被害の急増の原因はヤフーの大量の個人情報流出です。パスワードの使いまわしは利用者の問題として取り合わないが、社会的責任は底知れない。結果被害の大きさを見ての明確な謝罪もないままだろう。
ソフトバンク~ヤフーといったセキュリティに対する能天気管理は事件事故のたびに改善に取り組むものの馬鹿までは直らないからいつまで経ってもあちこちにほころびが出る。企業として無理を続けているから安心安全は二の次だ。結果(事件事故被害)が出たら対処する。例のメディア紛失事件と根は同じ。
.*.
