狙われる「デビットカード」機能、米国で被害報告 ハッカーがATMから好きなだけ現金引き出す
米国連邦金融機関検査協議会(FFIEC)が、銀行のATM(現金自動預け払い機)へのサイバー攻撃に対する危険が高まっていると警告している。
海外の銀行に比べて、コンピューターシステムへのセキュリティーや、危機管理の甘さが指摘される日本の銀行だが、大丈夫なのだろうか。
12個のアカウントを使い4000万ドルが引き出された!
ハッカーが「ATM」を狙う手口は複雑で巧妙になっている(写真は、イメージ)
米連邦金融機関検査協議会(FFIEC)は、銀行のATMへの「ある種のサイバー攻撃」に対する危険が高まっているとして、不当な引き出しによって米銀が膨大な損失を被る危険性があると警告した。
ウオール・ストリート・ジャーナル(2014年4月3日付)によると、FFIECはすでに「Unlimited Operationsアタックを用いて、12個のデビットカードアカウントを使い、4000万ドル(約41億円)が引き出された」と報告。「ある種のサイバー攻撃」とは、顧客が商品を購入する際、そのクレジットカード情報にアクセスする「POS(販売時点管理)システム」に対する攻撃などで、いくつかの段階からなっているとしている。
このハッキングは一般の顧客ではなく、銀行員をターゲットにフィッシング詐欺を仕掛けるもので、銀行の業務用端末を介してコンピューターに有害な動作を行うウィルスソフトをインストールして行なわれているのではないか、とみている。なかでも、「最近は中小規模の銀行がこうしたサイバー攻撃の危険にさらされている」と指摘する。
ハッカーらは、銀行やクレジットカード処理会社、小売チェーンのデータベースなどに侵入。数回にわたるハッキングによって、多くの顧客のアカウント情報や位置情報、どれくらいの金額かといった情報を盗み、インターネットで盗んだ顧客情報を仲間らに売り渡したり、自ら偽造キャッシュカードを作成したりして、ATMから好きなように現金を引き出していたという。
今回、FFIECが銀行に警告を発するきっかけになったとみられるのが、米検察当局が2013年5月に発表した世界的なサイバー犯罪組織の摘発だ。この組織が中東にある2つの銀行のクレジットカード処理会社のシステムをハッキングし、ATMから合計で4500万ドル(約45億円)を盗み出した。
日本やカナダ、ドイツ、アラブ首長国連邦(UAE)、イタリア、フランス、マレーシアなど27か国を荒らし回ったが、最初は「VISA‐Debit」と「MasterCard‐Debit」を取り扱う、インドの小さな会社のシステムに侵入。こうした会社のセキュリティーは銀行ほど安全ではないと考えられ、ハッカーに狙われやすかったとみている。
日本では海外の銀行のキャッシュカードでの引き出しが可能な、ゆうちょ銀行のATMから現金が引き出されていた。
日本の銀行のセキュリティー「今のところ、破られたことはない」
なんとも手の込んだ手口だが、最初に商品を購入するときに使われている仕組みが、「デビットカード」だ。海外ではクレジットカード会社が取り扱う「VISA‐Debit」「MasterCard‐Debit」として広く普及している。
利用時に銀行の預金口座からお金が引き落とされる、「即時決済」が特徴で、使い方はクレジットカードと同様、暗証番号を打ち込めば使える。
一方、日本ではあまり馴染みがない。日本でみられる「J‐Debit」は、銀行のキャッシュカードに付与されている機能なので、キャッシュカードと兼ねている。仕組みや使い方は海外と同じだが、利用時間などに一部制限があるなど、海外で使われているものとは若干異なる。
最近は、クレジットカード会社が本腰を入れ始め、「VISA‐Debit」はテレビCMも展開する。こちらは、基本的にはキャッシュカードとデビットカードの2枚が必要になる。
全国銀行協会は、「2013年のケースは海外の銀行でハッキングされた情報をもとに偽造カードが作成され、国内でも現金が引き出されました。しかし、日本の銀行がハッキングされて顧客情報が盗まれて、悪用された例はありません」と話している。
また、あるクレジットカード会社の関係者は、「これまでもカード番号が抜かれるケースがありましたが、銀行へのハッキングや、また加盟店(小売チェーンなど)から銀行の口座番号や暗証番号が抜かれたことはありません。クレジットカードによるデビットカードのセキュリティー基準は国際基準に則っています」と、万全と強調する。
ただ、「顧客の接点が増えるほど、高いセキュリティーが必要になる。相手(ハッカー)の手口も高度になっているし、絶対に不安がないとは言い切れない」(大手銀行の関係者)とも声も漏れる。