錯綜した電信取引(Tangled Wired)その2(全4回)
自動決済ネットワークと電信送金の不正
不正の概要 (FRAUD OVERVIEW)
全米自動決済協会(NACHA)によれば2013年度中に210億件、合計金額が38兆7千億ドルの処理がなされ、これは毎秒665件、一件あたりの平均金額は1,845ドルとなる。
(参照 http://tinyurl.com/pahuwbt)
年度を経るに従い、自動決済ネットワーク処理は増加傾向をたどっている。前掲のメイヤーズ氏のバンク・インフォ・ブログでは、NACHAの 統計上、1996年に40億件、10兆ドルだったものが、2008年に182億件、30兆ドルに増加している。2012年には、クリアリングハウス銀行間支払システム(Clearing House Interbank Payments System)は1日につき約1兆5千億ドルの電信送金が国内外で実施されたと報告した。
(参照: http://tinyurl.com/phwahsp )
急激な処理件数増加にともない、自動決済ネットワーク・電信送金不正の攻撃にさらされた組織の数も急増している。「2014年 金融プロフェッショナル協会 支払い不正と統制に関する調査報告書(Association for Financial Professionals (AFP) Payments Fraud and Control Survey www.afponline.org/fraud) 」によれば、2013年度、回答団体の22%(2012年の27%から減少)が自動決済ネットワーク経由での引き落としで不正被害にあっており、9%(2012年の8%から増加)の団体が、自動決済ネットワーク経由での送金にて不正を被り、電信送金では14%(2012年の11%から増加)の組織が不正にあっていた。
メイヤーズは、自動決済ネットワーク・電信送信不正による被害者当たりの平均損失が10万ドルから20万ドルになると述べている。さらに、「2013年AFP 支払い不正と統制に関する調査」によれば、2012年度に被害にあったとする回答団体のうちの12パーセントはそれらの不正によって財政的損失を被ったと報告されている。 「2013年米国銀行協会預金口座不正調査 (The 2013 American Bankers Association Deposit Account Fraud Survey)」は、2012年に、自動決済ネットワークと電信送金の不正によって業界全体として1億5,700万ドルの損失に見舞われたことを明らかにした。
2013年米国銀行協会預金口座不正調査 (The 2013 American Bankers Association Deposit Account Fraud Survey
自動決済ネットワーク・電信送金関連の不正リスクにより、規制当局、企業側、金融機関、そして消費者自身が、この種の不正の発見や防止策を一層望むようになったのは当然である。
どのように自動決済ネットワーク・電信送金不正が行われるか(HOW ACH AND WIRE TRANSFER FRAUD IS COMMITTED)
ジョアン・ゴッドチャイルドの「自動決済ネットワーク不正:なぜ、犯罪者がこれほどこの詐欺を愛用するか(“ACH fraud: Why criminals love this con,” by Joan Goodchild, Aug. 16, 2010, CSO, http://tinyurl.com/noys3ud)によれば、この不正はただ銀行口座番号と銀行支店番号さえあれば実行できるので、年を経るごとに犯罪者にとって簡単なものになってきた。
“ACH fraud: Why criminals love this con,” by Joan Goodchild, Aug. 16, 2010, CSO,
犯行者は頻繁にフィッシング電子メールを使って被害者になりそうな標的に罠を仕掛け、添付ファイルを巧妙に開かせるようにする。その添付ファイルは、銀行口座のパスワードを盗み出すキーロギングソフトウェアやキーボード操作を記録するトロイの木馬が仕組まれていて、それが被害者のコンピュータにインストールされてしまう。より複雑なスキームでは、運び屋を使ったり、共犯者と組んだりして、自宅勤務スキームを通して、不正実行者のために海外口座へ資金移動を行う。
米国連邦預金保険公社(FDIC)によれば、口座乗っ取りの典型的な例は犯罪者がフィッシングの手口を使う時に起こる。偽の電子メールを顧客に送り、口座に何か問題があるかのように見せかけ、その問題の修正のために、電子メールにあるハイパーリンクをクリックするように誘導するのだ。不幸にも、そのワンクリックにより、顧客は金融機関のウェブサイトに似せて巧妙に作られた偽装ホームページに誘導されてしまい、ログインすることで名前やパスワードなど顧客情報がまんまと、不正実行者の手に渡ってしまうことになる。その後、不正実行者は顧客のオンライン上の銀行口座にアクセスして、自動決済ネットワークや電信送金の手続きを始めて、資金を盗み出してしまうのである。
(参照: FDIC’s “Putting and End to Account-Hijacking Identity Theft,” http://tinyurl.com/nbtvepl)
自動決済ネットワーク預金水増しは、小切手による預金水増し(訳注:複数の預金口座を利用して、実際以上に資金が多くあるように見せ掛けること)に類似しており、あまり見られないが深刻な被害をもたらす不正だ。「支払い不正:いかに起こり、なにをすれば被害から組織を守れるのか?」JP モルガン・トレジャリー・サービス出版 (“Payments Fraud: How it Happens And What You Can Do To Protect Your Organization,” a J.P. Morgan Treasury Services publication, http://tinyurl.com/nn3leqc)」によれば、自動決済ネットワークに2つで一組の不正のための口座、つまり自動決済ネットワーク上の資金の振り出し側と受け取り側の口座が用意され、決済日の前の預金残高が引き出される。
JPモルガン出版は、もうひとつの手口を紹介している。架空会社が、他の会社の口座からの引き落としを発生させ、即座に架空会社の口座へ入金し、多額の資金があるように見えるうちに、早々にその資金を引き出してしまうというものがある。被害を受けた会社が、引き落としに気がついて銀行に確認したとしても、返金処理には遅すぎるタイミングとなるのだ。これにより、銀行は被害会社へ資金を補填することとなり、自らは財務損失を被ることになる。
不正実行者はまたソーシャル・エンジニアリング(心理的操作で、ある行動を誘導したり、機密情報を流出させたりする)を巧みに利用して、被害者のコンピュータにソフトウェアをインストールするためにアクセスする。たとえば、不正実行者は、IT要員を装って電話し、企業の従業員のコンピュータに接続し、スパイウェア、キーボード操作記録取得ソフトなどをインストールする。また、ソーシャル・エンジニアリングにより、自らが顧客のように偽装して銀行の従業員を信用させてしまうこともある。(参照:米国証券業金融市場協会(SIFMA)2014年1月「マネーロンダリングの防止と金融犯罪会議」の分科会「サイバー犯罪の最新動向:証券業界とマネーロンダリングの防止に与える影響」
(その3に続く)
----------------------------------------
初出 FRAUDマガジン日本語版43号
