ではなぜ、SBI証券の事例では、二要素認証を備えていた三菱UFJ銀行の口座が不正出金に利用されてしまったのだろうか。その理由は、三菱UFJ銀行で開設された口座がそもそも偽物であった要因が大きい。
SBI証券の事例では、SBI証券のセキュリティー不足も不正を手助けしたといえるが、そのような脆弱(ぜいじゃく)性があったとしても、ゆうちょ銀行や三菱UFJに偽口座が作れなければ攻撃に踏み切ることはできなかったといえる。
なぜなら、証券会社の出金先に指定できる銀行口座は、証券口座と同じ名義でなければならないからだ。証券会社から顧客資産を抜き取るには、攻撃が成功した顧客の名義を確認したうえで、速やかに偽の銀行口座を作成しなければならない。
しかし、SBI証券でこのような不正出金が発生したということは、「犯人がスピーディーに偽の銀行口座を作成できる脆弱性が銀行に存在する」ことを示唆していることになる。
連載第1回目では、我が国が “マネロン天国”である現状を指摘し、アンチ・マネーロンダリングの状況を審査する国際機関のFATF(ファトフ、金融活動作業部会)による「第4次対日相互審査」における銀行・金融庁の対応について触れた。偽の口座が簡単に作れてしまうことは、今の我が国は不正出金だけでなくマネーロンダリングのリスクも非常に高い状態のままであるということも同時に示唆しているといえる。
一連の騒動では、二段階認証のような「口座開設後」のセキュリティーについてもっぱら議論されているようにも思われるが、この対策は偽の口座に対しては無力だ。いかに偽の口座を作らせないかという「口座開設時」のセキュリティーも、不正出金やマネーロンダリングといった金融犯罪を撲滅するために必要不可欠な視点である。
中央大学法学部卒業後、Finatextに入社し、グループ証券会社スマートプラスの設立やアプリケーションの企画開発を行った。現在はFinatextのサービスディレクターとして勤務し、法人向けのサービス企画を行う傍ら、オコスモの代表としてメディア記事の執筆・監修を手掛けている。
Twitterはこちら
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアクセスランキング