錯綜した電信取引(Tangled Wired)その3(全4回)
自動決済ネットワークと電信送金の不正
自動決済ネットワーク・電信送金不正への対抗措置 (MITIGATING ACH AND WIRE TRANSFER FRAUD)
銀行は認証技術を活用し、顧客への啓蒙、従業員への周知徹底を図りながら、また送金限度額の設定や検証を通して、不正への対抗措置を促進すべきである。
テキサス・バンカース・コンピュータ犯罪特別委員会「法人口座の乗っ取りリスクへの成功事例」(Texas Bankers Electronic Crimes Task Force’s “Best Practices Reducing the Risks of Corporate Account Takeovers,”)によれば、銀行はITを利用して、安全なオンラインバンキング環境を整える必要がある。さらに、各種設定変更の前に追加的認証を設けたり、変更を行った場合に、電話やメールで直ちに顧客へ通知を行ったりして、口座管理業務における複数の統制による多重階層をもった防衛手段を活用できるだろう。
さらにオンライン・バンキング・システムは、最後のログイン日時や、直近の正当なログイン以降の認証失敗の回数をスクリーンに示すようにすべきである。 他の成功事例として、テキサス・バンカース・コンピュータ犯罪特別委員会によれば、自動決済ネットワークおよび電信送金開始時の帯域外つまり別チャネル認証、顧客側の機器への不正アクセスへの対応の方針、別の接続機器による二重の顧客認証、そして本人確認のための質問およびセキュリティ要求事項の強化などがある。
銀行は、社内的には自動決済ネットワーク・電信送金不正対抗措置として効果的なIT統制をも実施しなくてはならない。効果的なファイアウォールとともにファイアウォール設定の確認、モニタリング、評価の各プロセスを確実にすべきである。少なくとも毎月、セキュリティ脆弱性の回避のために、自社のパッチが有効かどうかを確認すべきだ。またテキサス・バンカース・コンピュータ犯罪特別委員会によれば、銀行は頻繁にアンチウイルス・ソフトおよびマルウェア対策のソフトの更新を行い、さらに追加的なセキュリティのための認証トークンの使用や、隔離された専用端末のみで自動決済ネットワークを利用した電信送金業務を行うことも有効であると報告している。
銀行の顧客での成功事例 (BANK CUSTOMER BEST PRACTICES)
ネットユーザーはプライバシーについて合理的な期待を持っているかもしれないが、ウェブサイトのログインには警戒すべきだ。
銀行の顧客も、電子メールやポップアップに対して個人情報を提供する返信をしたり、安易にスパムメールのリンクをクリックしたり、依頼していないメールの添付ファイルを開いたりしないことだ。
また、家庭ではオンラインバンキング専用のコンピュータを一台に決めて、そのためのブラウザをインストールして利用し、インターネットバンキングを使用する時はその他のブラウザのタブはすべて閉じておくべきだ。そして、終了後はかならず、ログオフし、ブラウザを閉じることが大切である。これはマイセキュリティ・アウェアネス・コム「自動決済ネットワーク・電信送信の不正:あなたのビジネスを守る」に記載されている。(“ACH & Wire Transfer Fraud: Protect Your Business,” at MySECURITY Awareness.com)
マイ・セキュリティ・アウェアネスの記事によると、利用者は毎日、口座を監視、照合して、不正な取引を発見した場合はただちに銀行に連絡をする必要がある。オンラインバンキングのパスワードを他のサイトで使用するべきではなく、ユーザ名やパスワードを保存する自動ログイン機能もオフにしておくべきだと警告している。さらにそれらのユーザ名やパスワードを他人と共有することは厳禁であり、口座番号も正当なオンライン・ベンダーのみに教えるという注意が必要だ。利用者は公共のコンピュータつまりインターネットカフェなどでは決してオンラインバンキング口座へ接続しないということも重要である。
銀行業務方針と手順 (Bank policies and procedures)
金融機関での不正発見トレーニングの必要性は明らかだ。厳格な本人確認方針も必須である。自動決済ネットワーク・電信送金にかかわる担当者は異常な状況を識別できるようでなければならない。
たとえば、ロリの銀行で、法人顧客のオンラインバンキングのセッションが進行中に不正実行者に乗っ取られ、その企業の給与支払口座から不正実行者への送金が行われたという事件が発生した。 給与支払先リストの氏名のファーストネームでは最初の1文字が大文字で、その後は小文字というのがほぼ標準だ。また多くの支給金額は妥当な金額で特段に多額の金額ではなく、また税金などの控除により金額は半端な数字なのだ。
しかしながら受取人がすべて大文字のスペルの名前でしかも、かなりの高額の金額で控除が一切ないような丸まった数字があれば、それは間違いなく不正実行者への支払いということになる。
(その4に続く)
----------------------------------------
初出 FRAUDマガジン日本語版43号