14億円ATM不正引き出し、甘い日本狙い撃ちか 不正引き出し事件を受けて専門家が分析
[シンガポール/東京 24日 ロイター] - 全国各地にあるコンビニの現金自動預け払い機(ATM)で、偽造クレジットカードが一斉に使われ、現金約14億円が不正に引き出された事件で、専門家はATMのネットワーク管理が甘い日本が狙われたとみている。
同事件に詳しい人物によると、犯行は22日朝、セブンイレブンのATMで、南アフリカのスタンダード銀行<SBKJ.J>の偽造クレジットカードが使われた。わずか3時間ほどの間に実行された取引は計1万4000回に上り、約14億円が不正に引き出された。
セブンイレブンにあるATMのほとんどは、セブン&アイ・ホールディングス<3382.T>系列であるセブン銀行のものだった。日本では、外国のクレジットカードを使って引き出しが可能な銀行は2行しかないが、セブン銀行はその1つ。
犯人はいまだ捕まっていない。
ある金融情報技術(IT)コンサルタントは、犯人が日本を選択した理由について「リスクが低いほか、ATMのネットワーク管理が甘く、不正分析ソフトによって見破られないと考えたからだろう」と指摘する。
スタンダード銀行は23日、顧客ではなく同行が推定3億ランド(約1900万ドル)の損害を被ったとし、当局に通報したことを明らかにした。
同行は24日、それ以上のコメントは差し控えた。
セブン銀行は警察の捜査に協力しているとしている。日本の金融庁と警察当局はコメントを差し控えた。
セブン銀行のATMは全国に約2万2000機ある。ゆうちょ銀行も外国のクレジットカードを受け入れているが、24時間使用できるのはATM2万7000機のうち、約540機にすぎない。
国内メディア報道によると、引き出しは15日、17都府県で行われた。100人以上が関与との報道もある。現金を引き出し、それを運ぶのに、相当な数の「運び屋」が必要だっただろうと専門家は指摘する。
「数時間のうちに(14億円も不正に引き出すことを)やってのけるとは圧巻としか言いようがない。抜け穴を使うのは分かるが、ばれずに運び屋を一国に寄せ集め、ネットワークを築くのは決して簡単なことではない」と、香港のサイバーセキュリティー専門家、ダン・ケリー氏は語った。
<大量の取引>
スタンダード銀行とセブン銀行は、大量の取引を監視できなかった責任があり、通常の時間外にこれだけ多くの場所から取引が急増するなどの異変を感知するシステムを導入しておくべきだったと、専門家は指摘する。
「責任はクレジットカードを発行したスタンダード銀行にあるが、事件の捜査が進めば、加盟店銀行にも責任が及ぶだろう」と、消費者の信用リスク評価なども行う米ソフトウエア会社FICOで、アジア太平洋地域の反金融犯罪を担当するサブハシシュ・ボース氏は語った。
専門家によると、犯行グループはさまざまな方法でデータを入手した可能性があり、恐らく「スキミング」カードを使っただろうが、現金引き出しにおいては限られた選択肢しかなかったという。
より新しく安全性が高い「チップ・アンド・ピン」システムを導入しておらず、旧式で安全性の低い「磁気ストライプ」のカードが通用する国を選ばなくてはならなかった。
「(南アフリカの)周辺国で同カードを利用していれば、スタンダード銀の不正分析ソフトに引っかかり、引き出しはできなかった」と、前出の金融ITコンサルタントは話した。
同様に、大半のアフリカ諸国、東欧、中東、中央アジア、ロシアでも現金を引き出せなかったと、同コンサルタントは付け加えた。
一方、日本は、犯罪率の低さや、銀行のATMの大半が外国のカードを受け入れないことからリスクが低いとみられていると専門家は話す。
日本は比較的孤立した状態にあることから、長い間、犯罪組織やサイバー犯罪グループのターゲットにはなっていなかったが、それは変わりつつある。にもかかわらず、対策が追い付いていないという。
「このような不正に対処する経験が浅く、監視し、不正を探知し、対応するといった点で後れを取っている」と、ストレージ(外部記憶装置)メーカー、EMC<EMC.N>のセキュリティー部門RSAでアジア太平洋地域のサイバー犯罪を専門とするスティーブン・マコンビー氏は指摘した。
日本では昨年、サイバー攻撃により日本年金機構の個人情報約125万件が流出した事件が起きている。
(Jeremy Wagstaff記者、浦中大賀記者、翻訳:伊藤典子、編集:下郡美紀)
Copyright © 2024 Thomson Reuters 無断転載を禁じます
