2020.09.28
「預金引き出し事件」あなたが安全といえない訳|「ドコモ口座事件」で考える今すべき「自衛策」
電子決済サービス「ドコモ口座」に端を発した不正引き出し被害。今回は銀行利用者が、自衛策としてできることを紹介します(写真:C-geo/PIXTA)
NTTドコモの電子決済サービス「ドコモ口座」に端を発した不正引き出し被害が拡大している。口座名義人ではない悪意ある第三者が、銀行口座から預金を決済サービスへと移動させ、勝手に使ってしまうという手口だが、とくに件数が突出していたのがゆうちょ銀行だ。
ドコモ口座(d払い)のほか、PayPay、LINE Pay、PayPal、メルペイ、Kyashでも被害を確認。ゆうちょはこれらの決済業者を含めた計10業者への即時振替サービスを停止した。被害は全額補償する方針だが、ぞっとするような事態が起きたことに変わりはない。
この連載の記事はこちら ※外部サイトに遷移します
今回の犯罪は何らかの方法で入手した口座情報等を基に、預金者の名義で決済業者のアカウントを開設し、そのチャージ元として銀行口座をひもづけたことで不正引き出しが起きたのだが、口座ひもづけの際の本人確認が甘かったせいではと指摘されている。
昨今、国策でキャッシュレス決済が強力に推進されてきた。国の未来投資会議で、決済インフラの見直しおよびキャッシュレスの環境整備は重点項目の1つとされ、さらに銀行は2017年の改正銀行法によって電子決済等代行業者との連携を進めよと求められてきた。
また、銀行免許を持たない事業者でも1件100万円を超える送金ができるようになる改正資金決済法も成立。新型コロナ禍も後押しし、決済のデジタル化をとにかく進めよと国を挙げて前のめりになっていたといえなくもない。残念ながら、その負の面が突かれた事件ともいえる。
われわれがサイバー犯罪を完璧に防ぎきることはできないだろう。しかし、なるべく被害に遭わないに越したことはない。銀行利用者が、自衛策としてできることをいくつか挙げてみたい。
(※以下の取り組みは各銀行のサービスによって異なる)
自衛のためにできること
ネットバンキングで通知メールの登録をする
今やどの銀行でも、インターネットやスマホアプリでのネットバンキングを推奨している。オンライン上で取引確認ができるので、まだネットバンキングの登録をしていない銀行があれば早めにしておきたい。
とくに、通知メールの設定は忘れずに。ログインがあった、パスワードの変更があった、振り込みをしたなどの際にメールで通知が届くからだ。
一部のネット銀行は、普段使っていないデバイスからログインしたときもメールが来る。どこまで通知してくれるかは銀行によって異なり、通知サービス自体がない銀行もあるが、その場合は銀行のスマホアプリや家計簿ソフトを利用して、定期的に確認する方法を取ろう。セキュリティーを重視するなら、メール通知サービスがある銀行を利用するほうが安心だ。とくに自分のメインバンクがどこまでお知らせをしてくれるか、改めて確認しておくといい。
送金や出金限度額を下げておく
ネット上での手続きで、自分の口座から振り込み・送金できる金額の上限を設けることができる。銀行によって異なるが、1回ずつの限度額、1日当たりの限度額というように上限を決めておけば、それを超えた送金はできない。あまり振り込む機会がない人なら、1回に送れる額を数万円まで下げておいてもいいのではないか。
また、ATMからの引き出し金額の上限は通常50万円だが、それをもっと少なくすることもできる。万が一キャッシュカードをだまし取られても被害を抑えることにつながるだろう。
最近のキャッシュカードはデビット一体型カードも多いが、デビット支払いの利用金額についても、1回当たり、1日当たり、ひと月当たりで上限設定できる銀行は多い。個人の家計管理レベルなら、数十万円を一度に引き出したり支払ったりという機会はそれほどないのでは。振り込みも出金も、必要以上に高額の設定になっているようなら今のうちに変更しておこう。
すぐには引き出せない定期預金にスイッチする方法も
普通預金には多額のお金を置かない
給与振り込み口座にうなるほどお金があるという人は少ないかもしれないが、聞いてみると「給与口座に全部入れっぱなし」という人も結構いる。住宅ローンやカード利用料、公共料金の引き落としなどのために一定額を残しておく必要はあるが、なんとなくお金はそのまま……というのでは、もし不正引き出しのターゲットにされたら泣くに泣けない。
そこで、すぐには引き出されない定期預金にスイッチしておくのも方法だろう。例えば、1カ月や3カ月といった満期が短い定期を月をずらして数本作り、自動継続にしておく。お金が必要なときには満期が来たものを解約すればよく、普通預金感覚で利用できる。もちろん、その金額をコツコツと積み立て投資に回すのも悪くない。証券口座にあるお金は、預金以上に簡単には引き出せないからだ……と思ったら、なんと9月16日にSBI証券で証券口座からの不正流出事件が起きてしまった。なんて世の中だろう。
休眠している口座は速やかに整理する
ほとんど使っていない口座は誰にもある。大した金額はなかったはずと思っても、こうした事件が起きて該当の銀行に口座があったりすれば気になるものだ。そもそも通帳だってどこにあるかわからなければ残高確認のしようもない。平時のうちに、使っていない口座は解約しておくほうがいいだろう。
それに、2年間取引がない口座(不稼働口座)に口座管理手数料をかけるという動きが銀行間に起きている。りそな銀行はすでに導入済みで、昨年には三菱UFJ銀行が2020年秋から年間1200円の手数料を検討しているとの報道が出た。もし実現すれば、ほかのメガバンクもそれにならうことだろう。銀行はさまざまなコスト削減策や手数料の引き上げ・新設をもくろんでおり、使わない口座を抱えていることは逆に自分のお金を減らすことになりかねない。また、いざ不正被害に遭ったときも、口座数を適切に絞っていれば気づきやすいだろう。
ゆうちょ銀行はなぜ狙われたのか
ここまで自衛のためにできることを挙げてきたが、それで十分では決してない。というのも、改めて被害の大きかったゆうちょ銀行を見ると、書いてきた対策がほとんど実行できるのだ。
まずはメール通知。連絡が来るのは、ログインがあったこと、振り込みなどの取引、ログインパスワードの変更や再登録時などかなり細かい。ログインするにも生体認証式やパスワード以外に合言葉が必要だったりと、結構面倒だ。さらに、振込金額の上限やATM等での1日の引き出し回数を決めたりもできる。推測でしかないが、もしゆうちょの利用者があまりネットバンキングを利用しない高齢者が多いとすれば、目をつけられやすいのだろうか。被害に遭った方々が、どんな手続きをしていたかは気になるところだ。
とはいえ、残念ながら「完璧な防御策」はない。今回の事件では、メールやスマホのSMS(ショートメッセージサービス)を利用したフィッシング手法により銀行の情報が盗まれていたのではとも言われている。
とくに最近では、宅配業者を装って不在通知をSMSで送り、URLをクリックさせることで偽サイトに誘導するといった手口が多く、各銀行が注意喚起をしている。メールであれSMSであれ、それに付帯しているURLはクリックしないに限る。
銀行のログインパスワードや何らかの暗証番号を入力する場合は、必ず正規のサイトから行うという慎重さが必要だ。筆者はサイバーセキュリティーのプロから話を聞いて以来、携帯会社からスマホに届いたSMSのURLですら開かないでいる。どれが本物か、素人には絶対に見破れないからだ。実に嫌な時代だが、まずは自助だと新総理にも言われたではないか。改めて肝に銘じよう。