事例
2024年(令和6年)3月、北海道警は、札幌に住む70歳代の女性が、約1400万円をだまし取られる被害に遭ったと発表しました。
1月中旬、女性の自宅に「総合通信局」の職員や警察官を名乗る人物から「口座の情報が流出している」などと電話がありました。女性はスマートフォンの機種変更を指示され、スマホのビデオ通話機能で自分の顔やマイナンバーカードを相手側に示しました。
1月中旬、女性の自宅に「総合通信局」の職員や警察官を名乗る人物から「口座の情報が流出している」などと電話がありました。女性はスマートフォンの機種変更を指示され、スマホのビデオ通話機能で自分の顔やマイナンバーカードを相手側に示しました。
その後、相手は「あなたの口座が凍結される」などとして預金の移し替えを持ちかけ、振込先に女性名義のネットバンク口座を提示しました。女性は、口座が開設されたことを知りませんでしたが、不審に思わず2月28日に2つの金融機関の窓口から現金を振り込みました。
警察によれば、窓口の職員も、振込先が本人名義の口座のため不審に思わなかった可能性が高いといいます。
警察によれば、窓口の職員も、振込先が本人名義の口座のため不審に思わなかった可能性が高いといいます。
讀賣新聞,2024年3月10日
オンラインでの本人確認の盲点
この事件の巧妙なところは、本人確認のためのデータを、スマホの機種変更に必要だからという理由で本人から騙し取ったところです。
被害者は、スマホのビデオ通話機能を使ってマイナンバーカードを提示します。氏名、住所、生年月日なども聞かれたことでしょう。このとき、犯人はビデオ映像から顔写真とマイナンバー券面の写しをデジタルデータとして取り出しますが、被害者はそれに気付かず、「総合通信局」の確認作業と誤認した可能性があります。
犯人は、本人の顔画像とマイナンバーカードの写しを使って、ネットバンクに被害者名義の口座を開設します。ネットバンクやネット証券では、本人が窓口に出向くことなく口座を開設できる利便性が徒となりました。
犯人は、実際の本人名義の口座が凍結されると嘘をついて、被害者に犯人が用意した口座へ預金を移動するように言葉巧みに誘導します。被害者は送金先の口座が自分のものであることに安心して送金してしまいます。
銀行側も、本人口座間での送金であることから、大量の現金移動があっても不審に思わなかったのでしょう。
犯人は、1400万円が入金した被害者口座を自由に操作できますから、小口に分けて他の口座へ送金するなどして、現金を引き出したのでしょう。こうなると、お金の流れを追跡するのは非常に難しくなります。
被害者は、スマホのビデオ通話機能を使ってマイナンバーカードを提示します。氏名、住所、生年月日なども聞かれたことでしょう。このとき、犯人はビデオ映像から顔写真とマイナンバー券面の写しをデジタルデータとして取り出しますが、被害者はそれに気付かず、「総合通信局」の確認作業と誤認した可能性があります。
犯人は、本人の顔画像とマイナンバーカードの写しを使って、ネットバンクに被害者名義の口座を開設します。ネットバンクやネット証券では、本人が窓口に出向くことなく口座を開設できる利便性が徒となりました。
犯人は、実際の本人名義の口座が凍結されると嘘をついて、被害者に犯人が用意した口座へ預金を移動するように言葉巧みに誘導します。被害者は送金先の口座が自分のものであることに安心して送金してしまいます。
銀行側も、本人口座間での送金であることから、大量の現金移動があっても不審に思わなかったのでしょう。
犯人は、1400万円が入金した被害者口座を自由に操作できますから、小口に分けて他の口座へ送金するなどして、現金を引き出したのでしょう。こうなると、お金の流れを追跡するのは非常に難しくなります。
プロセスに潜む脆弱性
セキュリティや脆弱性というと、ネットワークやプログラムの不具合のように感じるかもしれませんが、本事案では本人確認というプロセス(手順)に脆弱性がありました。
一部メディアではマイナンバーカードが原因であるかのように報じていますが、現実のネットバンクでは運転免許証でも本人確認できてしまうので、オンラインでの本人確認に〈なりすまし〉ができてしまう脆弱性があるのです。
リアル店舗では、窓口を訪れた本人と、その顔写真や本人確認資料を突合します。このように本人確認は、異なるメディア(媒体)を突合することで確実性を高めます。ところが、オンライン手続きでは、顔写真と確認書類の両方がデジタルデータです。つまり、同じメディアなのです。
これがオンライン本人確認というプロセスの脆弱性です。
一部メディアではマイナンバーカードが原因であるかのように報じていますが、現実のネットバンクでは運転免許証でも本人確認できてしまうので、オンラインでの本人確認に〈なりすまし〉ができてしまう脆弱性があるのです。
リアル店舗では、窓口を訪れた本人と、その顔写真や本人確認資料を突合します。このように本人確認は、異なるメディア(媒体)を突合することで確実性を高めます。ところが、オンライン手続きでは、顔写真と確認書類の両方がデジタルデータです。つまり、同じメディアなのです。
これがオンライン本人確認というプロセスの脆弱性です。
脆弱性を塞ぐ対策
同じメディアであることが脆弱性の原因でした。
そこで、リアル店舗のように紙の本人確認書類を郵送するようにしてはどうでしょうか。しかし、顔写真、マイナンバーカードや運転免許証の写しは、デジタルデータを印字すれば同じものを作ることができてしまいます。
そこで、本人しか取得できない住民票を送るようにしてはどうでしょうか。
しかし、それではオンラインの利便性が半減してします。
今日日、住民票を取得するのにマイナンバーカードによるオンライン認証が求められます。これは、マイナンバーカードに内蔵されている電子証明書を、国が管理しているデータベースと突合して、本人であることを認証しています。
この仕組みを利用すれば、わざわざ住民票を取り寄せなくても本人確認ができます。
もともとマイナンバー制度は、納税や公金受領のために銀行口座と紐付ける仕組みになっていました。ネットバンクも、これを確実に遂行すればいいのです。
また、利用者においても、オンラインで接触してくる「総合通信局」などといった組織が実在するかどうか、ググって、相手の確認をすることが大切です。相手の電話番号やメアドを聞き出し、それが公式に公開されているモノと一致するかどうか、電話をかけたりメール送信して、正しい応答が返ってくるかどうかというプロセスを踏んで相手の確認を行うといいでしょう。
そこで、リアル店舗のように紙の本人確認書類を郵送するようにしてはどうでしょうか。しかし、顔写真、マイナンバーカードや運転免許証の写しは、デジタルデータを印字すれば同じものを作ることができてしまいます。
そこで、本人しか取得できない住民票を送るようにしてはどうでしょうか。
しかし、それではオンラインの利便性が半減してします。
今日日、住民票を取得するのにマイナンバーカードによるオンライン認証が求められます。これは、マイナンバーカードに内蔵されている電子証明書を、国が管理しているデータベースと突合して、本人であることを認証しています。
この仕組みを利用すれば、わざわざ住民票を取り寄せなくても本人確認ができます。
もともとマイナンバー制度は、納税や公金受領のために銀行口座と紐付ける仕組みになっていました。ネットバンクも、これを確実に遂行すればいいのです。
また、利用者においても、オンラインで接触してくる「総合通信局」などといった組織が実在するかどうか、ググって、相手の確認をすることが大切です。相手の電話番号やメアドを聞き出し、それが公式に公開されているモノと一致するかどうか、電話をかけたりメール送信して、正しい応答が返ってくるかどうかというプロセスを踏んで相手の確認を行うといいでしょう。
スマホ乗っ取り
2024年(令和6年)4月には、大阪と東京の地方議員が携帯電話を乗っ取られ、高級腕時計を不正購入されるなどの被害が発生しました。
何者かが市議になりすまして偽造マイナンバーカードを提示してスマホの機種変更を申請し、店側はカードの目視のみで本人確認を済ませて変更してしまった。その後、機種変更されたスマホを使ったネットショッピングで議員名義のローンが組まれ、225万円のロレックスの腕時計が購入されていたことが判明した。
何者かが市議になりすまして偽造マイナンバーカードを提示してスマホの機種変更を申請し、店側はカードの目視のみで本人確認を済ませて変更してしまった。その後、機種変更されたスマホを使ったネットショッピングで議員名義のローンが組まれ、225万円のロレックスの腕時計が購入されていたことが判明した。
参考サイト
- マイナカードの情報でネットバンク口座を無断開設か…70代女性が1400万円だまし取られる:讀賣新聞,2024年3月10日
- 社会制度のバグ? 本人確認の穴を突いたマイナンバー過信の新手口とは:ITmedia,2024年3月25日
- 個人情報をネット公開の議員、マイナカード偽造されたか…スマホ乗っ取られ決済で被:讀賣新聞, 2024年5月28日
- 偽造マイナでスマホ乗っ取り 「甘い本人確認、防犯強化を」被害の松田憲幸大阪・八尾市議:産経新聞, 2024年5月28日
- マイナンバー制度スタート:ぱふぅ家のホームページ
- 振り込め詐欺と発信者電話番号の偽装:ぱふぅ家のホームページ
- なりすまし,メール:メール送信元は簡単に詐称できる:ぱふぅ家のホームページ
- ファーミング:なりすましサイトにご用心:ぱふぅ家のホームページ
(この項おわり)
被害者はなぜ騙されたのでしょうか。また、日頃ATMでの不正送金を監視している銀行が、なぜ見抜くことができなかったのでしょうか。