連載
特集
カテゴリー
タグ
メディア

マネー特集─MONEY SWITCH

不正出金されない銀行の選び方。怖いのは電子マネーより銀行口座かも

不正出金されない銀行の選び方。怖いのは電子マネーより銀行口座かも
Image: Shutterstock

この1か月、ドコモ口座とゆうちょ銀行で本人の同意のない連携による不正出金があり、大騒ぎとなりました。

今回のドコモ口座についてはメールアドレスひとつで口座開設できてしまうことが、悪意ある第三者が「本人の同意なし」で複数の口座を開設できる仕組みとして悪用されてしまいました。

しかし、それだけではなく、銀行サイドが「口座番号 氏名 暗証番号」の3要素さえ揃えば出金口座として認証してしまう仕組みも、今回の被害を大きくしたものとみられています。

今回、被害が生じた銀行の多くはゆうちょ銀行と地方銀行でしたが、セキュリティをもう一段講じていた銀行には被害はありませんでした。

もちろん、銀行やNTTドコモの不備による不正出金は、個人に過失がありませんので申し出れば補償されます。しかし、同様のトラブルがないように、銀行を見直してみたい、という人もいるかもしれません。

今回は、銀行選びのチェックポイントを2つご紹介してみます。

チェック1:外部口座連携はアプリか、二段階認証はあるか

スマホとキャッシュカード
Image: Shutterstock

今回のトラブル、「出金口座の指定は本人認証を行う」ことができれば、基本的には避けられました。

今までなら「カード所持していたこと+暗証番号」というのがある意味では二段階認証の役割を果たしていたわけです。しかし、カードレスで手続きを完了させるためには別の認証システムが必要です。

例えば、

  • 銀行が直接認証済みの公式アプリ(設定済み)を介する……アプリの設定は原則1口座1スマホのみなので、不正出金の許可は出されない
  • キャッシュカードの暗証番号とは別の暗証番号を提示する(モバイルバンキング用に設定された第2暗証番号やカードに印字された数字など)……複数の暗証番号を突破する必要があるため、犯罪者から敬遠される
  • 連携に際しては確認メールが届く、あるいは完了時に確認メールが届く……登録済みメールを介さなければ連携ができないため突破は難しく、また確認メールが届けば異変を察知できる
  • スマホでGoogleやSymantecの認証アプリなどを活用する(モバイルバンキングと連携する)……これも、モバイルバンキングを登録した本人のみに有効なコードが生成されるので第三者には突破されにくい
  • その他(預金通帳の最新残高を入力させる等)……原始的なようだが、通帳を持っていない他人には最後の認証が突破できない

などの仕組みがあるようです。

銀行選びに際しては、こうした二段階の認証プロセスを提供しているかどうかをチェックしてみてはどうでしょうか。

(今回被害がなかった銀行の取り組みの例はこちら。ソニー銀行みずほ銀行

チェック2:「出金通知メール」が設定できるか

メール
Image: Shutterstock

もうひとつ、銀行選びのチェックポイントとして考えてみたいのは「出金通知メール」です。

もし不正出金がなされたとき、早期に気がつけるかどうかがカギとなります。クレジットカードなら、支払い明細が届くので(あるいはアプリで)、ざっとチェックすることで不正利用を確認することができます。

銀行の預金通帳については数か月記帳しない人もいます。今回のような不正出金に気がつくために、記帳しなければいけないことがひとつのネックでした。

モバイルバンキングの設定ができる場合、スマホアプリかブラウザ経由で、入出金明細を取得することができますので、まずはこうした設定をしっかりしておきたいものです。

また、単純に「今出金されました」という通知を自分に送るようにしておく方法もあります。出金通知メールの仕組みで、銀行によってはこうした設定が可能になっていることがあります。

例えば新生銀行でコンビニATMなどからお金を引き出すと、毎回「先ほど出金がありました」とメールが来ます。平時には邪魔なように見えますが、こうした被害時には即時発見につながります。

多くの銀行では、モバイルバンキングの初期設定をする際にメール通知の設定を行えますので(あとから設定することも可能)、自分の銀行のモバイルバンキングの画面を確認してみてください。

ドコモ口座と連携をしていた地方銀行の中でも、福岡銀行は被害がなかったのですが、二段階認証の設定による口座連携をしていたことと、出金通知メールの設定が可能であることは、犯罪者を遠ざけるために一定の効果をもたらしたのではないかと思います。

一方で、今回大きな被害となったゆうちょ銀行は「入金通知メール」はあるのに「出金通知メール」はありませんでした。

今後は出金メールが設定できるかどうか、を銀行選びの基準としてもいいと思います。

金融機関も対策に動く。できる自衛はしておこう

2つ、銀行選びのチェックポイントを紹介しました。あまり利用のない銀行がセキュリティに不安があるなら、解約をしたり預金をおろしてメインバンクに移しておくといいでしょう。

ただし、ゆうちょ銀行ほか、今回被害にあった銀行も、スマホへのメッセージ通知など二段階認証の準備を進めています。アプリの整備なども進むでしょう。

必要があってどうしても解約できない場合は、対応が整うまでの間はモバイルバンキングなどで残高のチェックができるようにしておきましょう

金融機関と犯罪者とのいたちごっこの様相ですが、個人としては不正出金に巻き込まれたくないものです。できうる対策はひとりひとりが講じておきたいものです。

おまけ:恐れるべきはフィッシングサイト。あなたの親が危ない

スマホを見る老夫婦
Image: Shutterstock

ところで、今回の騒動の一番の謎は「犯罪者は口座番号や暗証番号をどうやって手に入れたのか」という点です。一部で指摘されているのが、メールによるフィッシングサイトへの誘導です。

フィッシング対策協議会の昨年末のレポートでは、多くの地方銀行がフィッシングサイトのターゲットとなっていることが示されており、今回の被害があった銀行も含まれています。

そもそも、暗証番号や口座番号を奪われなければ、犯罪者の突破はそれだけで難易度が上がります(同一IPアドレスからの連続ログイン試行は通常弾かれるなど)。

ライフハッカー[日本版]の読者は、フィッシングメールには引っかからないでしょうが、あなたの両親や祖父母、親戚はそうではありません。ぜひ家族への注意喚起をしてあげてください。

「基本的に無視」「手続きは公式アプリでやればいい」というくらい強く言っておくことをおすすめします。

あるいはスマホやタブレットで使うメールソフトは、Gmailなどのスパムフィルターがしっかりしているものを使ってもらうといいでしょう。

おまけ2:裏技としての「究極の不正出金対策」

それでも地元の地方銀行に口座を作っているということはあるでしょう。両親や祖父母に「ネットバンクに切り替えて」といっても応じてもらえないかもしれません。

最後におまけでもうひとつ、不正出金対策の裏技を紹介しておきましょう。

それは「個人向け国債」を買っておくという方法です。ネットバンクではオンラインで購入、解約ができるのですが、地方銀行などでは購入や解約について本人確認のために「来店」を必要としていることがほとんどです(オンラインでできることもある)。

また公共債口座を開設してそこで満期までの個人向け国債は管理されるため、不正出金対策になります。日常生活費以外のお金を個人向け国債にしておく、というのは有効な対策のひとつになるかもしれません。

あわせて読みたい

FPおすすめの家計簿アプリ4選。本当に役立つ家計の見方、つけ方

「賃貸」か「持ち家」か。ウィズコロナ時代の答えは?

Image: Shutterstock

山崎俊輔

swiper-button-prev
swiper-button-next