スウェーデンのインフラ、BankID
BankID(バンクアイディー、スウェーデン語でバンクイーデー)などインターネット上の個人認証システムを使った詐欺が、すごい勢いで拡大している。
BankIDはスウェーデンではほとんどの人が使っているインターネット上の個人証明・認証アプリ。人口が1000万人ほどのスウェーデンで現在750万のユーザーがおり、毎日全国で900万回以上使用されている。
インターネットバンクでの支払や振込の際や(というか、スウェーデンでは現在支払や振込を取り扱う銀行の店舗は姿を消していっており、ほぼすべての決済がインターネット上で行われている)、今日のスウェーデンでの生活上なくてはならない送金アプリSwish(スウィッシュ)を使用する際など暗証番号やワンタイムパスワードを入力する代わりとしても使用する。
BankIDの最初のバーションが出たのは2003年とかなり前で、当初はパソコンにダウンロードして使用する形だった。その後、2010年にスマートフォンで使用するMobil BankIDアプリができてから爆発的に普及し、今では銀行の決済、確定申告の提出、病院の予約の確認といった公的なものから、eコマースでクレジットカード決済をする際などの商業的なものまで、ネット上できちんとした本人確認と本人による認証(BankIDで認証すれば法的な契約として認められる)が必要な際には、必ずといっていいほど使用する。
BankID利用者のうち93%がMobil BankIDを使っており、21歳から50歳のスウェーデン人の96%がBankID利用しており生活には欠かせないツールである。高齢者にもよく普及していて70代では約半数の52%の人が、80代以上でも4分の1強の27%の人がBankIDを使っている。*1
アプリは自分が口座をもっている銀行に依頼して発行してもらう。BankIDの運営自体はFinansiell ID-Teknik BID ABという法人がおこなっており、これは大手銀行7社が共同出資して作られたものだ。
急増するBankID詐欺
BankIDを使った詐欺はおよそ1年位前に出現し、今年に入ってから急増した。
この7月の1ヶ月間だけでBankiIDを含むe認証の詐欺で約2000万クローナ(約2億5千万円)が騙し取られた。詐欺を行っているのは、日本の振り込め詐欺と同様プロの犯罪集団であり、この夏には初めてこの種の詐欺で検挙された犯罪者に実刑もいい渡されている。
リンク元・Dagens Nyheter 2018年8月12日付け記事より
詐欺師の多くは銀行員を装って銀行の電話番号を装って電話をかけてくる。「あなたのカードが、どうも不正使用されているらしいことがわかった。これ以上不正使用を広げないために、カードを使用停止にする手続きをこれから一緒に行います」、というのがよくある手口らしい。
使用停止にするために本人のBankIDで認証が必要という流れになり、電話の先の人物からBankID認証するように指示される。
しかし電話口の向こうでは、詐欺師はなんらかの方法であなたのインターネットバンクの口座情報を入手しており、まずあなたがBankIDで個人証明を促されるとそれで口座へのログインを済ませてしまう。その後「確認のためにもう一度BankIDで認証する」手続きをするよう指示される時には、あなたの銀行口座の残高を犯罪組織が所有する別の口座へ振込む手はずは整っており、あなたがBankIDで認証したその瞬間口座残高は犯罪組織の手に渡る。
別口座へと振り込まれたお金は複数のゲートキーパーにより、Swishやオークションサイト、海外のカジノなどでマネーロンダリングされて消息のわからないものとなってしまう。
新しくて古い手口
私はスウェーデンで暮らし始めてそろそろ19年になるが、これまで詐欺といえばどこの国にもある「この新株でもうかるよ」とか、あとは零細中小企業に向けて行政機関を装って偽の請求書を送りつけ、申し込んだ覚えもないマーケティングサービスへの支払いを迫られる架空請求詐欺など、どちらかというとチマチマとしたものが多かったように思う。
それが スウェーデンでは近年詐欺事件自体が急増しており、ここ数年で倍増した。昨年は年間20万件の詐欺事件があった。
この6月くらいからスマートフォンで銀行のアプリを開くと、まず「決して暗証番号や、カード番号、口座情報などを他人に教えないでください。他人の指示でBankIDで認証しないでください。銀行はこのような用件では絶対にお客様に電話しません」といった注意書きがでるようになった。日本でATMを使おうとすると「振り込め詐欺ではありませんか?!」とまず表示されるのと同じような感じだ。
先に書いた2億5千万相当が騙し取られたこの7月の数字をもう少し詳しくみると、442件の届け出があり、そのうち137件で実害があった。
警察では届け出までするのは事件に遭遇した100人のうち1人くらいだと読んでおり、この1ヶ月だけでも全国で4万4千人くらいへ詐欺電話がかかってきているのではないかとみている。(Dagens Nyheter同記事による)
銀行員を装って電話をかけてくるので注意せよ、という情報が浸透してくると、この7月末にはElgiganten(エルギガンテン)という大手家電量販店の担当者と装ってかけてくる手法が主流になったという。その他にも、銀行員からの電話の前に警察官を装ってダブルでかけてくるケースもあるらしく、このあたりの手法は進化し続けている。
ただしスウェーデンでは普通の個人の講座に何千万円、何億円といった預金があるケースはまれなので、詐欺は給与が振り込まれて口座残高が増える月末に増加する。
BankID詐欺対策のキラー技術はこれだ!
インターネットのフィッシング詐欺であっても、最新のフィンテック技術と絡めた新手のスマホアプリ詐欺でも、私たちにできる防御策は子供の頃から教えられてきたものと変わらない。
知らない人にはついていかない。おかしいと思ったら話を続けない。人に促されてなにか具体的な行動を取る前に一息つく。沈黙を恐れない。
今急増しているBankIDやその他のネット上の認証技術を用いた詐欺も、元をただせば、最新のハッキング技術を使っているものではなく(そういう犯罪ももちろんあるがごく稀だ)、要は電話で圧迫をかけパニック状態に陥ったところで行動を取ることを促されるという、昔からよくある手口である。
この詐欺をメディアが大々的に報道したことにより、もちろん模倣犯も多く出たが、消費者側も知識を得て届出件数の増加のスピードと同じスピードで被害件数は伸びていないようだ。
BankIDと銀行側でも以前より技術面からの対策が検討されており、私もBankIDと銀行のアプリの位置情報のマッチングを行うのではないかと思っていた(同じ人が同じ場所でBank IDと銀行アプリを使っているという状況でしか使用できない、というシナリオだが、プライバシーの取扱が微妙ではある)。
そんなところ、先日発表された対策はQRコードによるものだった。
2つの別々のデバイスを使ってBankIDでログインや認証しようとした場合(例えば詐欺師のPCと被害者のスマホから)、最初のデバイスに表示されるQRコードを2つ目のデバイスで読み取らなければならないというステップを開発した。
ただし、この技術は使用できるようにはなったものの、必須のステップとするかどうかはそれぞれの銀行やBankIDを組み込んでいるサービスの提供者に任されるということなので、実際にどれくらい使用されるかはまだ未知数だ。
ゆえに、今月末のお給料日ではまだ状況が変わっていないと思うので、スウェーデンに住む皆さんはくれぐれも詐欺師にご注意ください!