今どきのフィッシングは「レベルが違う」 私たちが引っ掛からないためにできること：金融ISAC座談会（2/2 ページ）

[宮田健，ITmedia]

金融機関を悩ませる“オンラインカジノ”が絡む不正送金被害

　その他、フィッシングのような不正送金ではないものの金融機関を悩ませているのが「オンラインカジノ」が関係すると思われる不正送金被害だ。海外のオンラインカジノはオンラインバンキングを勝手にスクレイピングすることで金融機関に接続していると分析されている。中には振り込んだら出金ができないような悪意のある怪しいWebサイトも存在する。利用者が海外のオンラインカジノにアカウントを作る際、カジノサイト側にオンラインバンキングに必要なログイン情報やワンタイムパスワードも含めて認証情報を全て渡してしまい、結果としてそれが不正送金に悪用されている可能性が高いケースが多発している。もちろん国内でのオンラインカジノの利用は違法（賭博罪）だ。

オンラインカジノを使った不正送金被害（出典：金融ISAC提供資料）

みずほフィナンシャルグループの竹内 司氏（サイバーセキュリティ統括部　サイバーレスポンスチーム　調査役）

　みずほフィナンシャルグループの竹内 司氏（サイバーセキュリティ統括部　サイバーレスポンスチーム　調査役）は「これは当行に限った話ではありませんが、最初は『見覚えのない取引がある。自分は送金した覚えがない』という相談が銀行に寄せられることがあります。フィッシングなど被害の他に、いろいろ深掘りしていくと「オンラインカジノの利用があった」という共通点が発覚するケースがあります。利用者本人は後ろめたいことをしている自覚があるようで最初は『ゲームの課金です』と言われ、それ以上詳細についてはお話しいただけないことがあり、被害の発覚や調査が遅くなってしまいます」と語る。

　また竹内氏は、「銀行としては、銀行への被害の申告と同時に、最寄りの警察にも並行して申告いただくことを必須としています。しかしオンラインカジノなどのケースですと、それを伝えると利用者も口ごもってしまう。そういう顧客は銀行や警察に被害として認知されず統計には出てこないが、多くいるのかもしれません」とも話す。

　この問題はオンラインカジノのIPアドレスを遮断するだけでは解決しない。IPアドレスを遮断するにしてもオンラインカジノに関係すると思われる収納代行業者が多く存在し、銀行からすれば、その先にオンラインカジノがあるのかどうかを判断することは難しいからだ。しかしこれを放置してしまうと「『銀行は対策が緩いと思われてしまう』ので警察や金融機関で連携して対処していきたい」（竹内氏）

今後も官民連携で不正送金対策に取り組んでいく

　現在、各行は金融ISACという情報共有の場を活用しながら不正送金対策に取り組んでいる。サイバー犯罪だけでなくテクニカルサポート詐欺や副業詐欺、オンラインカジノなどさまざまな方向から不審な活動が見つかり、その都度対策が講じられている。日本サイバー犯罪対策センター（JC3）などの機関との官民連携もその一つだ。

不正送金被害に遭わないために（出典：JC3のWebサイト）

　サイバー犯罪者の最終ゴールは「金銭」であり、その金銭を取り扱う金融機関は常に最前線でサイバー犯罪を受け、顧客の資産を守るために対策を施すメンバーがいる。座談会に参加するフィッシングハンターは「もはや年齢層は関係なく、若い人もだまされます。見分けられないのが当たり前で、誰もが引っ掛かるものです。甘い言葉や対応を焦らせる内容には特に注意してほしいです」と注意喚起する。

　金融機関の場合、攻撃者に対策が漏れないよう、対策の詳細を伝えにくい上に、即座に対策を打たねば秒単位で不正送金が実行されてしまうため、いきなりサービスが止められることも多くなってきた。利用者から見ると冒頭の例のように、サービスの劣化や停止が無告知で行われ、SNSで多くの不満が噴出することになってしまう。

　しかし、その裏では通常の利用者はもちろん、注意喚起をしてもフィッシングや詐欺に引っ掛かってしまう利用者を守るため、犯罪者との熾烈（しれつ）な闘いが発生している。

　完璧な防御手法が存在しない今、利用者もフィッシングの手口を学び、公式サイトや公式アプリからのログインなど、「見分けない」ことを前提にした対策を講じていく必要があるだろう。