ネットバンキングの不正送金被害における事情と対策：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

最大の防御策

　最も効果的な方法とは、バンキングだけでなく全てのPC操作やインターネット操作において自分の行動を慎重にすることだ。例えば、メールのリンクも信用しない。前項で挙げたガイドラインの内容は、ネットやPCの利用にある程度慣れた中級者以上でないと理解できない可能性があると感じた。チェックリストも詳しくできているだけに、むしろ使いづらいかもしれない。例えば、ガイドラインの6ページの後半にあるチェックリストは次のようになっている。

【金融機関からのメールを受け取った場合】メール文中にあるWebサイトへのリンク先URLは見覚えがありますか？

↓

メール文面中のURLと実際に飛ぶ先のURLが異なるように細工をすることが可能です。これを見破るためには、リンクまたはURL部分にマウスカーソルを乗せてみます。表示されたリンク先のURLが利用者カードや毎月の請求書などに記載のURLと同じことを確認しましょう。

　セキュリティの有識者なら平易過ぎるこの表現も、初心者には分からない場合が多い。筆者ならこうする。

メール文中にあるWebサイトへのリンク先は信じない。クリックしない。

↓

もし表示されているWebサイトへ行く必要がある場合、「お気に入り」に登録しているその金融機関のトップページに飛び、そこでの案内にしたがうか、サイト内検索で該当ページに行くこと

　ここで重要なのは「リンクを信じてはいけない」という点を体で覚えることにある。利用者は「安心してバンキングができれば良い」と考えるので、多少の不便さは許容範囲だと認知してもらうことが重要だと思う。

　なお、いまは「金融機関からのメールを受け取った場合」だけではなく、全てのメールに対して防御しなければならない時代である。ウイルスに感染させることだけが目的のメールなら、攻撃者はわざわざ金融機関を名乗ってメールをしない。もっと狡猾に仕掛けてくる。だからこそこうしたチェックリストは、ぜひそこまで踏み込んだ内容にしてほしいというのが筆者の希望だ。

　不正送金被害が深刻になっているこういう時期にガイドラインが作成されたのは高く評価したい。利用者もこれを参考に、各自で考えるきっかけになれば幸いである。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。