警視庁が5月に発表した内容によると、今年は5月9日時点で、インターネットバンキングにおける不正送金被害件数が873件にのぼり、被害金額については約14億1700万円と約5カ月間で昨年1年間分をすでに上回った。
全国銀行協会が5月に発表したデータでは、法人口座の不正送金被害も昨年末から急増。アンケート結果に基づく過去2年間の被害の推移をみると、3カ月間の被害件数は数件、被害金額は数百万円で推移していたところ、2013年10~12月は被害金額が3100万円に跳ね上がり、14年1~3月には被害件数が21件、被害金額が1億4000万円にまでのぼった。
独立行政法人の情報処理推進機構(IPA)では毎月、「情報セキュリティについての呼びかけ」をサイトで公開しているが、こうした状況を踏まえ、8月のテーマを「法人向けインターネットバンキングの不正送金対策、しっかりできていますか?」とした。
法人向けインターネットバンキングの認証方法は大きく3つあり、まず1つ目はログインIDとパスワード情報のみに基づく認証、2つ目はブラウザに格納された電子証明書とパスワード情報に基づく認証、3つ目はICカード等に格納された電子証明書とパスワード情報に基づく認証となる。
1つ目よりも2つ目、2つ目よりも3つ目の認証のほうがセキュリティレベルは高くなる。そこで、法人口座の不正送金被害への対策は、少しでもセキュリティレベルの高い認証方法を採用することだ。
また、サイバー攻撃者はその攻撃手口として、インターネットバンキングに利用しているパソコンをウイルスで感染させ、電子証明書を窃取する。そこでウイルス感染を防ぐために、インターネットバンキングに利用するパソコンの台数を絞り、そのパソコンからのインターネットへのアクセスはインターネットバンキング利用時に限定することが望ましい。銀行が指定した正規の手順で電子証明書を利用することも重要だ。
IPAではこうした対策を推奨しているが、ほかに全国銀行協会が推奨するセキュリティ対策として、「取引の申請者と承認者とで異なるパソコンを利用する」、「振込や払戻し等の限度額を必要な範囲内でできるだけ低く設定する」、「不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認する」といったことも挙げている。ぜひ参考にしたい。
