ネットバンキング被害から身を守れ！ 最新情報から実践する対策術：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

2013年末頃からネットバンキングの不正送金が急増している。特に企業など法人での被害が目立つ状況である。今回は最新情報を基に不正送金被害から企業を守る方法についてお伝えしたい。

[萩原栄幸，ITmedia]

ネットバンキングの法人被害が急増中

　警察庁によれば、2012年のネットバンキング被害額（法人＋個人の合計）は4800万円だった。ところが、昨年の2013年にはその約30倍となる14億円を超えてしまった。そして、今年は5月9日時点で既にその被害額を超えたという。

　そして被害額における法人の割合は、2013年は6.9％であったが、今年は33.9％になっている。情報処理推進機構（IPA）でも特に法人の被害が大きいと警鐘を鳴らしており、2013年7〜9月に300万円ほどの被害が法人から寄せられたが、同年10〜12月では3100万円と10倍以上になり、今年1〜3月は1億4000万円と46倍以上もの被害となっている。

　これは個人と法人とで比較すると、明らかに「個人の方のガードが甘い」という一般的な事象とは逆になっている。この大きな理由に振込の上限額がある。個人は極めて低い。効率を考慮すると、犯罪者にとっては、明らかに法人を狙う方が“おいしい”のである。犯罪者にとって、多少ガードが堅い法人ではあるが、振込上限額が50万円程度である場合の多い個人と比べて、法人の場合は中小企業といえども1回の振込で1000万円を超える業種も多く、犯罪者にとっては「うまみ」がいいからにほかならない。

　法人のネットバンキング利用のガードの高さを象徴するのが、いわゆる「電子証明書」であった。だが、最近はこの電子証明書を窃取する手口が横行している。電子証明書はPC内のブラウザに格納する場合とICカードを発行し、そのカードの中にある場合がある。近年はセキュリティの観点から、ICカードによる電子証明書が多くなっている。しかし、PC内部がウイルスに汚染されてしまうと、犯罪者は電子証明書を窃取してなりすましを行うため、被害が発生している。法人が自身を守るために、IPAや全国銀行協会（全銀協）、そして業界団体など様々な機関がその防止策を打ち出している。表現は多少違うものの、その本質はほぼ同じだ。

全銀協の対応

　全銀協は7月17日に以下のメッセージを発表した。

「法的責任はないと考えられる場合であっても、継続的なサービスの提供や銀行の経営戦略などの観点から合理性があるとして、法人のお客さまの被害を補償するとの判断があると考えられる。したがって、今後、会員銀行は、インターネットバンキングの信頼性を高め、お客さまに安心してご利用いただくために、法人のお客さまの被害に対する補償を個別行の経営判断として検討するものとする」

　ただ、補償額については原則各銀行が判断するということであり、現実問題としてみずほ銀行やりそな銀行は、8月に補償の上限を5000万円と定めた。しかも、補償を受けるには全銀協が定めた条件（各銀行固有のセキュリティを実施しているという条件を含む）がある。全銀協の資料では次の通りだ。

1. 銀行が導入しているセキュリティ対策を実施していること
2. インターネットバンキングに使用するPCに関し、OSやWebブラウザなど、インストールされている各種ソフトウェアを最新状態に更新すること
3. PCにインストールされている各種ソフトウェアで、メーカーのサポート期限が経過した基本ソフトやWebブラウザなどの使用を止めること
4. PCにセキュリティ対策ソフトを導入するとともに、最新の状態に更新したうえで、稼働していること
5. インターネットバンキングに係るパスワードを定期的に変更すること
6. 銀行が指定した正規の手順以外での電子証明書の利用を止めること

　上記は必須条件となるが、そのほかに「お客様に推奨する」対策をさらに述べている。

1. インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定すること
2. PCや無線LANのルータなどについて、未利用時は可能な限り電源を切断すること
3. 取引の申請者と承認者とで異なるPCを利用すること
4. 振込や払戻しなどの限度額を必要な範囲でできるだけ低く設定すること
5. 不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認すること