MIRAI Office - Lund, Sweden

北欧と日本の間のIT先端技術、デザインとエンターテイメントの領域でビジネス・コンサルティングを提供しています

BankID詐欺はなくなるか?

スウェーデンのインフラ、BankID

f:id:hiromi_blomberg:20180914193238j:plain

BankID(バンクアイディー、スウェーデン語でバンクイーデー)などインターネット上の個人認証システムを使った詐欺が、すごい勢いで拡大している。

BankIDはスウェーデンではほとんどの人が使っているであろうインターネット上の個人証明・認証アプリ。人口が1000万人ほどのスウェーデンで現在750万のユーザーがおり、毎日全国で900万回以上使用されている。

インターネットバンクでの支払や振込の際や(というか、スウェーデンでは現在支払や振込を取り扱う銀行の店舗はほぼなく、決済のほとんどがインターネット上で行われている)、今日のスウェーデンでの生活上なくてはならない送金アプリSwish(スウィッシュ)を使用する際などに、例えれば暗証番号やワンタイムパスワードを入力する代わりのように使用する。

BankIDの最初のバーションが出たのは2003年とずいぶん前で、当初はパソコンにダウンロードして使用する形だった。その後2010年にスマートフォンで使用するMobil BankIDアプリができてから爆発的に普及し、今では銀行の決済、確定申告の提出、病院の予約の確認といった公的なものから、eコマースでクレジットカード決済をする際などの商業的なものまで、ネット上できちんとした本人確認と本人による認証(BankIDで認証すれば法的な契約として認められる)が必要な際には、必ずといっていいほど使用する。

BankID利用者のうち93%がMobil BankIDを使っており、21歳から50歳のスウェーデン人の96%がBankID利用者というほど生活には欠かせないツールである。高齢者にもよく普及しており、70代では約半数の52%の人が、80代以上でも4分の1強の27%の人がBankIDを使っている。*1

 

アプリは自分が口座をもっている銀行に依頼して発行してもらう。BankIDの運営自体はFinansiell ID-Teknik BID ABという法人がおこなっており、これは大手銀行7社が出資して作られたものだ。

急増するBankID詐欺

BankIDを使った詐欺はおよそ1年位前に出現し、今年に入ってから急増。ものすごい勢いで拡大している。

この7月の1ヶ月間だけでBankiIDを含むe認証の詐欺で約2000万クローナ(約2億5千万円)が騙し取られた。詐欺を行っているのは、日本の振り込め詐欺と同様プロの犯罪集団であり、この夏には初めてこの種の詐欺で検挙された犯罪者に実刑もいい渡されている。

 

https://interactive.sanoma.fi/arkku/public/generated/27719QulNn/pix/id-bankbrott_statistikkopia.png

リンク元・Dagens Nyheter 2018年8月12日付け記事より 

 

詐欺師の多くは銀行員を装って銀行の電話番号を装って電話をかけてくる。「あなたのカードが、どうも不正使用されているらしいことがわかった。これ以上不正使用を広げないために、カードを使用停止にする手続きをこれから一緒に行います」、と。

使用停止にするためには、本人がBankIDで認証しないといけないということで、電話の先の人物からBankID認証するように指示される。

しかし、電話口の向こうでは、詐欺師はなんらかの方法であなたのインターネットバンクの口座情報を入手しており、まずBankIDで個人証明を促されるとそれで口座へのログインを済ます。その後「確認のためにもう一度BankIDで認証する」手続きを促される時には、あなたの虎の子を犯罪組織がもっている別の口座へ振込む手はずは整っており、あなたがBankIDで認証したその瞬間、口座のすべての金額は犯罪組織の手に渡る。

別口座へと振り込まれたお金は何人かのゲートキーパーにより、Swishやオークションサイト、海外のカジノなどでマネーロンダリングされる。

新しくて古い手口 

スウェーデンで暮らし始めてそろそろ19年になるが、これまで詐欺といえば、どこの国でもある「この新株でもうかるよ」とか、あとは個人ではなく零細中小企業に向けて、行政機関を装って偽の請求書を送りつけ、申し込んだ覚えもないマーケティングサービスへの支払いを迫られるといった架空請求など、どちらかというとチマチマとしたものが多かったように思う。

それが スウェーデンでは近年詐欺自体が急増しており、ここ数年で倍増。昨年は年間20万件となっているそう。

6月くらいからスマートフォンで銀行アプリを開くとまず「決して暗証番号や、カード番号、口座情報などを他人に教えないでください。他人の指示でBankIDで認証しないでください。銀行はこのような用件では絶対に電話しません」といった注意書きがでるようになった。日本でATMを使おうとすると「振り込め詐欺ではありませんか?!」とまず表示されるのと同じような感じだ。

先に書いた2億5千万相当が騙し取られたこの7月の数字をもう少し詳しくみると、442件の届け出がだされ、そのうち137件が被害にあったものだ。

警察では届け出までするのは事件に遭遇した100人のうち1人くらいだと数字を読んでおり、この1ヶ月だけでも4万4千人くらいへ詐欺電話がかかってきているのではないかとみている。(Dagens Nyheter同記事による)

f:id:hiromi_blomberg:20180914193447j:plain

スウェーデンでも電話での詐欺にあうのは年配の人が多いそう。Helena Wahlman/imagebank.sweden.se

銀行員を装って電話をかけてくるので注意せよ、という情報が浸透してくると、この7月末にはElgiganten(エルギガンテン)という大手家電量販店の担当者と装ってかけてくる手法が主流になったらしい。銀行員の前に警察官を装ってダブルでかけてくるケースもあるらしく、このあたりは進化し続け未だに被害がなくならない日本の状況からなにかこちらの詐欺師も学んでいるよう?

ただ、スウェーデンでは普通の個人が何千万、何億といった預金があるようなケースはまれなので、詐欺は給与が振り込まれて口座残高が増える月末に増加する。

BankID詐欺対策のキラー技術はこれだ!

インターネットのフィッシング詐欺でも、最新のフィンテック技術と絡めた新手のスマホアプリ詐欺でも、取るべき基本姿勢は、おそらく子供の頃から教えられてきたことと変わらない。

知らない人にはついていかない。おかしいと思ったら話を続けない。人に促されてなにか具体的な行動を取る前に、一息つく。沈黙を恐れない。

今急増しているBankIDやその他のネット上の認証技術を用いた詐欺も、元をただせば、最新のハッキング技術を使っているものではなく(そういう犯罪ももちろんあるがごく稀だ)、要は電話で圧迫をかけ、パニック状態に陥ったところで行動を取ることを促されるという、昔からある手口である。

この詐欺をメディアが報道したことで、もちろん模倣犯も多く出たが(手口としてはそんなに難しいものではない。そして、最近検挙されているのはそんな手口の甘いチンピラたち)、消費者側も知識を得て、届出件数が伸びているほどのレベルで被害件数は伸びていないように見える。

BankIDと銀行側でも技術面から対策をとろうとしていることは以前から噂されており、私もBankIDを呼び出す側のインターネットバンクなどのサービスを使用してる側の位置情報とBankIDの使用者の位置情報があっているかのマッチングではないかと思っていた。

つい先日発表されたのはQRコードによる対策。

2つの別々のデバイスを使って(例えば詐欺師のPCと被害者のスマホから)BankIDでログインや認証しようとした場合、最初のデバイスに表示されるQRコードを2つ目のデバイスで読み取らなければならないというステップを開発した。

ただし、この技術は使用できるようにはなったものの、必須のステップとするかどうかはそれぞれの銀行やBankIDを組み込んでいるサービスの提供者に任されるということなので、実際にどれくらい使用されるかはまだ未知数。

ということで、今月末のお給料日はまだ状況が変わっていないと思うので、スウェーデンに住む皆さんはくれぐれもご注意を!

www.svt.se

© MIRAI Office AB 2015 - 2018