巷ではドコモ口座で知らぬ間に銀行口座からお金が引き出されていたという事件が話題になっていますけれども、SBI証券で実はもっと大きなことが起こっていて、なんと1億円もの金額が引き出されるという事件が起きています。

件数は少ないですが、金額に関しては圧倒的に大きな数字となっています。

このようなことになってしまった原因と、我々がとるべき対策を解説したいと思います。

なぜ起きた？ドコモ口座不正引き出し

まずこのドコモのニュースです。

『ドコモ口座不正引き出し被害額は2760万円に』と、これが17日のニュースです。

ドコモ口座は、いわゆるスマートフォンで決済するようなサービスです。

銀行からお金を移して行うということになりますが、この仕組みを使ってお金が不正に引き出されていたという話で、このような金額の被害になっています。

一方でもう一つ『SBI証券不正アクセスで顧客口座から約1億円流出』というニュースになっています。

先ほどの被害額が2760万円、一方でこちらは1億円ですから金額としてはこちらが圧倒的に大きいものとなっています。

特に証券口座を持っている投資家はからしたら戦々恐々としているわけです。

それぞれがどういった仕組みで起きてしまったのかを解説します。

ドコモ口座の件で多く使われたのがゆうちょ銀行の口座です。

このゆうちょ銀行は他の銀行に比べてもセキュリティが甘いと言わざるを得ないです。

何が起きたのかというと、まずこの口座番号やログインパスワード、そして4ケタの暗証番号が何らかの要因によって、流出してしまったという事があるわけなんです。

これははっきり言って盗まれてしまった本人の原因というのもありますが、一つにはフィッシング詐欺が使われたと言われています。

フィッシング詐欺というとメール等がいきなり送られてきて、銀行のホームページを真似したようなページに飛ばされて、そこで口座番号や暗証番号、パスワードなどを書かされてそのまま抜き取られてしまうというようなものです。

そこで銀行のページにログイン出来てしまうと、氏名などの個人情報が抜き取られてしまって、その情報からドコモ口座も開設出来てしまうというような問題です。

今はこれだけでは普通はお金を取られるというところまで発展しないようになっています。

何故かというと銀行からネットでお金を引き出そうとすると今ほとんどの銀行でワンタイムパスワードというものが求められます。

キーホルダーに付けるような「トークン」と呼ばれる物を貰った事はないでしょうか。

今はカードになっていたりもしますが、その瞬間だけ送られる6桁の数字の暗証番号やパスワードを入力する事で初めてお金が引き出せるというものです。

今これがメールアドレスに送られてきたりですとか、あるいは携帯電話番号通じたメッセージで送られてくるというパターンも多くなってきました。

この2段階認証というのはかなり強力で、実際にその携帯電話やトークンがないと引き出す事が出来ないので、3つの情報を取っただけではログインは出来ても、お金は引き出せないという事でこれが最後の砦になっています。

ところがゆうちょ銀行や他の銀行もありますが、銀行からドコモ口座へお金を流すといった際にこのワンタイムパスワードが要求されませんでした。

代わりに4ケタの暗証番号を要求されたのですが、これらは変化する事のない情報なので、一度盗まれてしまったらもういくらでもお金を流せる状態になっていました。

このワンタイムパスワード2段階認証ですが、ゆうちょ銀行では使われていませんでしたが、一方で他の銀行では採用していたところもありました。

何故採用したところと、していないところがあるのかというところには大きな疑問が残ります。

やっていなかった銀行に関してはお金を引き出すという事に対する利便性を重視するあまりセキュリティの認識が甘かった訳です。

銀行の動きを見ているとそもそもセキュリティに関して、意識が十分向かっていないのではないかという事が考えられます。

その最たるものがこのゆうちょ銀行という事になります。

更にドコモにおいては、ドコモ口座開設の時に本人確認を怠っていたという事が挙げられます。

かつては”ドコモ口座”というくらいですからドコモの契約する際に、本人確認を求めるので安心感があったのですが、今やメールアドレスだけで開設出来る事になっていますし、開設に必要な個人情報というのは銀行の口座にログインしたらすぐに分かってしまいますし、ここは完全にザルだったとを言わざるを得ません。

ドコモ口座のようなペイシステムは使わないから大丈夫だと思われるれるかもしれませんが、これに関しては実は逆です。

このドコモ口座というのは誰でもを開く事が出来たので、自分がドコモ口座を持っているかどうかに関わらず、勝手に作られてしまって、銀行口座さえ持っていればその銀行口座の方からお金を引き出せてしまえるという状況だった訳です。

つまり悪いのはデジタルではなくて、銀行のセキュリティの認識の甘さになります。

ただこの問題で唯一救いだったのは、ドコモ口座が1回10万円までの引き出し、そして1ヶ月に30万円までしか引き出せなかったという事です。

これによって巨額の被害というのは免れて、二千数百万円というところでまだおさまっているというところがあります。

 

ドコモ口座よりヤバい！？証券口座の被害

ではもう一方の問題のSBI証券のお話をしたいと思います。

これは1億円が流出してしまいました。

その流出の経緯をお話しいたしますと、まずSBI証券にログインする為には、ユーザーネーム、ログインパスワードというのが必要になります。

またそのログインパスワードとは別に取引パスワードというのも必要になってきます。

3つあるとセキュリティが高いようにに見えますが、先ほど言ったようなフィッシング詐欺ですとこれらをまとめて入力させたりするので、それで流出してしまっては意味がありません。

ただ私も証券口座は普段から使いますが、証券口座は銀行口座よりも安全だと正直思っていました。

何故かというと銀行はすぐ他の銀行に振り込んだりとかオンライン上で出来ますが、証券口座に関しては本人名義の口座にしか引き出せませんし、仮にログインされたとしても確かに株の売買などは出来てしまいますが、最終的にお金を持っていく仕組みがないと考えられていましたので、ログインパスワードを取られても最悪お金を取られないので、わざわざ危険を冒して犯人もログインする理由がなかったはずなのです。

つまり取引は出来ても出金は出来ないというのが証券口座の特徴でした。

じゃあどうやって取引したお金を最終的に手元に出すのかというと、同姓同名の本人の口座のみ出金が出来るというような形になっていました。

ただ今回最大の問題となっているがこの同姓同名の口座というところです。

その口座が本人の物であるということを確認する為には、実は同姓同名という事しか定義してなくて、それであれば良かった訳です。

すなわち犯人はこれらのユーザーネーム、ログインパスワード、取引パスワードなどを何らかの形で入手して、そしては当然ログインすれば本人の名前もわかります。

その名前を使って偽造の身分証などを作ったのかも知れません。

それでゆうちょ銀行で偽造口座を作って、同姓同名の偽造口座にSBI証券のお金を移すという感じになった訳です。

そして証券口座というと、かなりの金額が入っていることが多いです。

それらの口座から株として買っていた物を勝手に売って、そして勝手にお金を引き出すというような事が行われていた訳です。

実はこの被害は6件しか起きていませんが、証券口座なので大きなお金が入ったのでしょう。

ドコモ口座は何十件とある中で2000万円という事ですが、こちらは6件で1億円近くという数字になってしまいました。

更に言うとこの同姓同名しか引き出せないというのは、多くのネット証券で同じ仕組みを取っているので、SBI証券に限らず起こり得る話という事になります。

問題点を整理しますと、ユーザーネーム・パスワードが盗まれてしまったという事、それから本人確認が同姓同名というだけであったという事、更にはこの偽造身分証なんかで口座開設が出来てしまったという由々しき問題です。

銀行口座も今開設するのも結構難しくなっていると思うのですが、身分証が偽造かどうか見抜けなかった銀行の6件のうち5件がゆうちょ銀行という事でした。

これはゆうちょ銀行の甘さというのがやはり今回も際立ってくる訳です。

もっと言うならば、先ほどのドコモ口座は1口座あたり、1か月30万円と上限があったわけなんですが、このSBI証券に関しては出金可能額無制限という事になります。

確かにこの証券取引をするような人は大きなお金を動かしますから、無制限にしないと本当に必要なお金を引き出しが出来なくて困るという事になるのですが、ただこうやって被害が起きた時も大きくなってしまう事になります。

まとめますと、とにかくみんな甘いです。

本人に関しても、フィッシング詐欺に引っかからないようにすることはデジタル社会を生き抜く為に必要な知識・認識です。

また、銀行や証券会社、あるいはドコモなんかもお金の出口という認識が甘いです。

サイトにログインされてしまうのは最悪あり得る事なので、それは仕方ないです。

最後お金を出すところさえ締めてしまえば最悪の被害は免れる事が出来ます。

しかしその出口に対して2段階認証を設けていなかったとか、本人の同姓同名の名義だけで引き出せるようにしたというのは、やはり甘いと言わざるを得ません。

対策は？ネット社会を生き抜くために

さてじゃあ我々はいったいどういう対策をしたらいいのでしょうか。

対策として私達が行うべきは口座を今すぐ確認、特にゆうちょ銀行の口座を持っている人は今すぐ確認するようにしてください。

自分の身に覚えのない取引があったとしたら、それは不正引き出しである可能性が高いので、すぐゆうちょ銀行や記名されているところに連絡をして確認するようにしてください。

これらは全額補償すると各社言っています。

ただ気づかない事には保証もされないわけですから、今すぐ確認するという事が必要になります。

そして、何よりこれらの発端はログイン情報が盗まれてしまったというところにあるので、パスワードを使い回さないということがあります。

通常のネットとお金の引き出しが行われるようなもののパスワードを一緒にしていると、メールアドレスが一緒ということで犯人の方で照合して、同じパスワードを試してみるということになりかねません。

とにかくパスワード使い回さないということが大事です。

もしそういう事をして不安だったら是非今すぐ変えてください。

私の場合はパスワード設定する時はインターネットで、パスワード生成と検索して、そこで自動的に発生したパスワードを各社、各サイトで分けて使うようにしています。

それだと忘れてしまうのではないかという事もありますので、それらを全部Evernoteにまとめて、いつでもそのサービス名、あるいはサイト名から検索出来るようにしています。

当然Evernoteに関しても2段階認証を使っているという厳重な形でやっているのですが、こうやってデジタル保存しておけばいつでも検索出来るという利便性がありますし、もしどうしてもそれも怖いという人がいたら、自分の手帳にパスワード手帳というのを作っていつでも見返せるようにしておく事をお勧めします。

現代のネット社会を生き抜く上ではこのパスワード管理というのは必須の条件になります。

それからフィッシング詐欺というものを私達は知らなければいけません。

最近どんどん巧妙になってきています。

例えば私も毎日のように来るのですが、あなたのアカウントが一時的にロックされていますというメールが来ます。

ここに見る通りAmazonから来ているかのように見えますが、ただこうやって見るとやはり不審な点は間違いなくあります。

一番あるのはメールアドレスです 。

Amazonから来ているはずなのにAmazonではないドメインから来ていますし、最後に.com「.br」 という謎の物が付いています。

こういったものはまず疑ってかかるべきです。

日本語もおかしいです。

常識で言えば拝啓と敬具がセットになる訳で、普通メール文章に敬具というのは使いません。

また、「ありがとうございます.」が「。」じゃなくて「.」になっていたり、ログイン情報とかそういったものをやけに求めるようなところは不審であると考えたほうがいいです。

メールでそういう情報を求めるという事はないので、どうしても自分がそのページを使いたいという事なら、メールは一旦無視して自分で検索してそのサイトに行って、その上でログインを試してみるようにしてください。

どうしてもそれでもログイン出来なくなってしまっている時は、パスワードをの再設定するとかそういった手続きが必要になってきますので、それはまたメールと関係なく行っていただく事です。

そしてその上で気になる事がありましたらすぐに、使っているサービスに問い合わせをするですとか、問い合わせする前にGoogleで検索するだけでも全然違うと思います。

おかしな事はもGoogleの情報で出ていたりするので、来たメールに関しては疑ってかかるという事が必要です。

いかがだったでしょうか。

大切なお金ですからこうやって詐欺なんかで持って行かれてしまうというのは絶対にあってはならない事だと思います。

それを防ぐ為に必要なのは私たちの知識という事になります。