ネットバンキング不正送金の被害が4倍に｜ワンタイムパスワードを破る手口とは？

f:id:fp-investor-info:20200209114051j:plain

これまで当ブログでは、預金口座から徴収される口座管理手数料や口座維持手数料について解説してきました。

超低金利の時代が長引き、銀行の収益が落ちている中で、銀行にお金を預けると目減りするというマイナス金利時代が到来する可能性があります。

www.fpinv7.com

大手銀行に預金すると、手数料を取られるのであれば、ネット銀行に口座を移そうと考える方も多いと思いますが、その際にリスクとなるのが、フィッシング詐欺などによる預金の不正送金です。

最近では、手口が巧妙化し、ワンタイムパスワードが破られる事例も増えています。

www.nikkei.com

そこで今回は、ネットバンキングで不正送金被害に遭った場合の補償や自己防衛策について解説したいと思います。

１．ワンタイムパスワードの仕組みとは？
２．ワンタイムパスワードを破る手口とは？
３．インターネットバンキングの不正送金被害が前年比4倍超
４．ネットバンキングの不正送金詐欺に遭っても補償される？
５．不正送金の被害が補償されない重過失とは？
６．ネットバンキングの不正送金を防衛する対策とは？
まとめ

１．ワンタイムパスワードの仕組みとは？

ワンタイムパスワードとは、その名の通り、一度しか使えない使い捨てパスワードです。

二段階認証の一種で、ネット銀行のサイトにログインする際の固定パスワードとは別に、振り込み時などに必要となります。

仕組みとしては、銀行が用意したスマートフォンアプリや生成器（トークン）を利用して、ワンタイムパスワードを入手します。

ワンタイムパスワードのトークン

（出典：りそな銀行）

ネット銀行などで振り込みを行う場合、ワンタイムパスワードの入力を求められるので、スマホアプリや生成器（トークン）で入手したワンタイムパスワードを入力することにより、振り込みを行うことができます。

ワンタイムパスワードを利用することで、固定パスワードが漏えいし、不正にログインされた場合でも、不正送金を防ぐことができます。

ワンタイムパスワードは、利用の都度、新しいパスワードが発行され、一度しか使用できません。また、一定期間ごとに変更されます。

よって、ワンタイムパスワードを盗まれても、すぐに利用できなくなるので、通常の固定されたパスワードに比べて不正送金の被害に遭うリスクを下げることができます。

２．ワンタイムパスワードを破る手口とは？

安全性が高いと思われていたワンタイムパスワードですが、破られる被害事例が急増しています。

その手口は下記の通りです。

ワンタイムパスワードを破る手口

（出典：日経新聞）

①預金者をショートメッセージ（SMS）で偽サイトに誘導

まず、ネットバンキングの預金者をショートメッセージ（SMS）で偽サイトに誘導し、IDとパスワードを入力するように仕向けます。

②利用者が偽サイトにIDとパスワードを入力

利用者が偽サイトにIDとパスワードを入力すると、犯人の手にログインIDとパスワードが渡ることになります。

③利用者になりますし、IDとパスワードを入力

犯人が、利用者になりすましてネットバンキングのサイトにIDとパスワードを入力します。

④利用者にワンタイムパスワードを送信

犯人が入手したIDとパスワードでログインし、銀行から利用者にワンタイムパスワードを送信させます。

⑤利用者が偽サイトにワンタイムパスワードを入力

利用者にワンタイムパスワードが送信されるタイミングで、偽サイトはワンタイムパスワードを要求する画面に切り替わり、利用者がワンタイムパスワードを入力します。

⑥口座の預金を不正送金

ワンタイムパスワードが犯人の手に渡るので、口座の預金を不正に送金することが可能となります。

りそな銀行では、HP上で下記のような注意喚起がされています。

「りそなマイゲート・りそなグループアプリ」偽eメール・偽ショートメッセージ（SMS）等にご注意ください！

平素より、りそなグループをお引き立ていただき、誠にありがとうございます。

現在、りそな銀行を名乗った、以下のような偽eメール、偽ショートメッセージ（SMS）が配信されています。当社からeメールやSMS等で、このような情報の入力を求めることは一切ありません。不審なeメール・SMS等を受信した場合は、すぐに削除し記載されたリンク先へのアクセスやお客さま情報の入力等は絶対にしないでください。

（出典：りそな銀行）

上記の通り、銀行からメールでIDやパスワードなどを聞くことはないということを肝に銘じておくことが重要でしょう。

３．インターネットバンキングの不正送金被害が前年比4倍超

上記のような手口でインターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円（暫定値）に急増しています。

下図の通り、不正送金事案は昨年の令和元年9月から急増しています。

不正送金事件発生状況（令和元年11月末現在）

４．ネットバンキングの不正送金詐欺に遭っても補償される？

フィッシングなどの詐欺被害に遭い、不正送金された場合、盗られた預金は補償されるのでしょうか？

結論から申し上げると、詐欺で不正送金の被害に遭った場合は、補償されます。ただし、補償を受けるには、下記のように条件があります。

三菱ＵＦＪダイレクトの不正利用被害の補償について

個人のお客さまにおかれまして

ご契約番号等の盗用または不正な振込に気付いたらすみやかに当行に通知していただくこと

当行の調査に対し十分な説明を行っていただくこと

警察に被害届をご提出または被害のご相談をいただくこと

を前提に、原則として通知があった日から30日前の日以降になされた払出しについて被害補償いたします。なお、ご本人に過失がある場合の被害補償額は4分の3となります。ただし、これらは番号等の盗用から2年を経過する日後に通知をいただいた場合には適用されません。さらに、ご本人に重大な過失がある場合、ご本人の配偶者、二親等以内の親族、その他同居人または家事使用人によって行われた場合、またはご本人が被害状況の説明において重要な事項について偽りの説明を行った場合には被害補償の対象とはなりません。

（出典：三菱ＵＦＪ銀行）

一般的には、2008年2月19日に一般社団法人全国銀行協会により公表された申し合わせ「預金等の不正な払戻しへの対応について」に沿って、上記のようなルールで補償の運用が行われます。

不正送金の補償を受けるうえで最も大切なことが、不正送金に気付いたらすぐに銀行に連絡するという点です。連絡が遅れると、補償の対象外となってしまいます。

そして、警察への連絡と被害届の提出が必要となります。

５．不正送金の被害が補償されない重過失とは？

上記の通り、利用者本人に過失がある場合は補償額が4分の3になってしまいます。

また、利用者本人に重過失がある場合や、本人の配偶者、二親等以内の親族、その他同居人または家事使用人によって行われた場合、補償の対象外となります。

どのような行為が過失、重過失になるかが気になるところですが、明確な規定があるわけではありません。被害事故１件ごとに個別の要素を加味して判断することになります。

なお、住信SBIネット銀行に「利用者の重大な過失となりうる事例」として、下記のような規定があります。

当社が注意喚起した手口またはそれに類似する手口であると認識し、または容易に認識し得たにもかかわらず、騙されて、ユーザーネーム/パスワード等を入力してしまった場合

他人にユーザーネームやパスワード等を知らせた場合

ユーザーネーム、各種パスワード、認証番号、カードの裏面画像や裏面の表の情報等を、他人が容易にアクセス可能なお客さまの携帯電話機やスマートフォンのメモ情報やパーソナルコンピュータ、インターネット上のデータ保管サービス(電子メールやクラウドサービス等)に保存していた場合

身に覚えのない預金残高の変動、ウィルス感染等により、インターネット・バンキングで不正な払戻しが行われる可能性を認識し、または容易に認識し得たにも関わらず、当社への通知を行われていない場合

その他、お客さまの「故意」と同視しうる程度にお客さまが注意義務に著しく違反している場合

（出典：住信SBIネット銀行）

IDやパスワードの管理がずさんだった場合だけでなく、銀行側が注意喚起していた詐欺手口に騙され不正送金の被害にあった場合、重過失を問われ、補償対象外となる可能性があるので、注意が必要です。