UTMとは?
2023.8.7
eSIMとは?メリットとデメリットを詳しく解説!
2023.8.28不正送金の被害に遭っても銀行は補償してくれない!?
近年、銀行口座のIDやパスワードをさまざまな手法で盗まれて利用者の口座から不正に送金される被害が発生しています。
インターネットバンキングを利用している企業がウイルス感染や不正送金の被害に遭うケースは少なくありません。
今回は、不正送金の被害件数や被害に遭った場合に銀行がどのような補償をしてくれるのかを解説していきます。
不正送金の被害はどのくらい?
日本経済新聞ではインターネットバンキングの口座から預金を不正に送金する被害が2022年に15億円超に上り、3年ぶりに増えたことが記事になっていました。
被害件数は前年に比べて552件増の1136件、被害額は6億9950万円増の約15億1950万円だったことが記されています。
2022年に警察がサイバー犯罪の摘発を行った件数は1万2369件で、前年から160件増えて過去最多を更新したことも判明しています。
特にランサムウエア(身代金要求型ウイルス)の被害は、急増しており2021年比で57%増になっております。
【参考元_日本経済新聞】https://www.nikkei.com/article/DGXZQOUE159UT0V10C23A3000000/
さらには、令和5年4月24日には、警察庁と金融庁も不正送金について連名で注意喚起を行っています。
注意喚起された内容によれば、2023年2月における発生件数は111件、被害額は約2億6,800万円、3月における発生件数は381件、被害額は約5億300万円とされています。
また、4月1日から14日までにおける発生件数は120件、被害額は約1億8,800万円(2023年4月14日現在)と今年になってからも被害件数が急増していることがわかります。
【参考元_金融庁】https://www.fsa.go.jp/ordinary/internet-bank_2.html
不正送金の手口とは?
インターネットバンキングの不正送金はどのような手口で行われているのでしょうか?
年々新しい手口が生み出されており不正送金の被害は増え続けています。
その中でも代表的な手口について説明していきます。
フィッシング詐欺
代表的な不正送金の手口がフィッシング詐欺です。
偽メールを用いて、偽サイトに誘導して銀行口座のログイン情報などを盗み出す行為です。
偽メール、偽サイトは精巧に作られており、本物と見間違うケースが多発しています。
偽サイトと気付かず、ID・パスワードを入力することで情報を盗み取られます。
MITB攻撃
MITB攻撃とは、マルウェアに感染させてブラウザ画面を乗っ取る攻撃のことです。
アカウント情報を盗み見たり、送金先を改ざんしたりすることでお金を盗み取ります。
ユーザー画面では正規のサイトで正規の手続き画面が表示されているので、見分けがつきにくいのが特徴です。
MITB攻撃の攻撃パターンの種類について紹介します。
スパイウェア
パソコンに保存されている個人情報や入力したキーワード等を、気付かないうちに収集して、インターネット経由で送信してしまうソフトのことです。
一般的には気付かないうちにインストールされており、ユーザーの意に反して操作されることがあります。
キーロガー
キーロガーは作業内容の記録をするソフトウェアです。
ユーザーのパソコン内部に侵入したキーロガーが、ネットバンキングの口座画面でキーボード入力した情報が盗み見られることにより、被害が発生します。
スクリーンスクラッパー
クリックを行った瞬間にスクリーンショットをされることによりアカウント情報を盗み見されるパターンです。
キーロガー対策としてキーボードを入力しない方法がありますが、スクリーンクラッパーではキーロガー対策も関係ありません。
キーロガー対策との相性がよく、被害が急増しています。
不正送金の被害に遭ったら補償してくれる?
皆さんは銀行が不正送金の被害に遭った場合にどのような補償をしてくれるのか把握されていますか?
法人口座であった場合、企業のセキュリティが弱かったことでウイルス感染・不正送金被害に遭ったと銀行に判断されれば利用者の責任となる可能性が高いとされています。
しかしインターネットで調べてみると「不正送金の被害に遭っても銀行のセキュリティの問題だし預金者保護法があるから大丈夫!」と出てきます。
どちらの情報が正しいのでしょうか?
預金者保護法について
預金者保護法とは、「偽造カード等及び盗難カード等を用いて行われる不正な機械式預貯金払戻し等からの預貯金者の保護等に関する法律」の略です。
その内容は偽造や盗難されたキャッシュカードによって、個人の預金口座から不正に引き出された場合に、金融機関にその被害額を補償する義務を課すものです。
ここで重要なのが、「個人のキャッシュカード」という部分になります。
よって預金者保護法は個人を対象とするため法人は適用外という事がわかります。
さらにキャッシュカードの不正被害を限定する補償のため、インターネットバンキングでの被害は補償されないものになります。
そこで、全国銀行協会は、個人のインターネットバンキングによる不正な払い戻し被害に対して、預金者保護法に準じて、補償を行うという自主ルールを策定しました。
その内容としては、(1)銀行への被害事実の届出、(2)銀行への説明、(3)警察署・検察庁への被害の申述(インターネットバンキング被害については「捜査当局への事情説明」とされています。)をすることを要件とし、また預貯金者に過失が認められる場合には、一部の補償を行わないとするものです。
これまでの解説から、キャッシュカードの不正な引出しに対しての補償はあるが、インターネットバンキングは補償の対象外であるため、預金保護法に準じて補償するという自主ルールが適用されることが分かりました。
しかしこれらは、いずれも個人の預金口座を対象とするものです。
それでは法人口座の補償については、どうなるのでしょうか?
法人口座のインターネットバンキングによる不正送金の被害に対する補償は?
法人口座の補償については、全国銀行協会から各金融機関に「法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方について」が示されています。
これによると企業のセキュリティ対策がなされていることを前提に一定金額を上限に補償を行うことを各金融機関に検討を促す内容となっています。
あくまで補償を行うかは、各金融機関の判断とされているため利用している金融機関が補償に関してどのようなルールを策定しているかを確認する必要があります。
よって法人口座の補償については各金融機関が、自主的に補償に関するルールを定めていることが分かりました。
【参考元_一般社団法人全国銀行協会】https://www.zenginkyo.or.jp/news/2014/n3349/
推奨される企業のセキュリティ対策は?
全国銀行協会が、企業に求めるセキュリティ対策として、別紙1「銀行および法人のお客さまに求められるセキュリティ対策事例」なるものを示しています。
その内容に記されている推奨の対策が、各金融機関の補償を行う基準となっており、逆を言えば対策を取っていない場合、補償されない可能性があることを意味します。
推奨の対策の項目は複数あり、それらを組み合わせて万全の対策を講じていく必要があることやセキュリティの状態を常に最新の状態にしておく必要があることがその中に書かれています。
別紙2「補償減額または補償せずの取扱いとなりうるケースについて」では、利用者が被害に遭った場合に警察や銀行への通知義務も課されています。
さらには、ID・パスワードをパソコンや携帯電話等に保存されていた場合も補償の対象外になる可能性があることも示されています。
【参考元全国銀行協会別紙1】https://www.zenginkyo.or.jp/fileadmin/res/news/news260717_1.pdf
【参考元全国銀行協会別紙2】https://www.zenginkyo.or.jp/fileadmin/res/news/news260717_2.pdf
まとめ
法人口座におけるインターネットバンキングでの不正送金の被害に関して、銀行の補償は確約されていないことが分かりました。
あくまで自主ルールになるため補償するかの判断や条件は、各銀行に委ねられます。
いずれにしろ銀行から提示された条件で銀行サービスを利用したかが重要になってきます。
現在、企業にも金融機関のセキュリティ対策が求められており、更に高いセキュリティレベルが求められることになるでしょう。
