銀行口座の乗っ取りで、わずか２時間で７０００万円を喪失。警察庁によると、ネットバンキング不正送金の被害額は1年間で約87億円で、うちわけは2023年は『個人』標的の不正が多く、24年秋から急増しているのが『法人口座』狙いです。なぜ企業の大金が奪われるに至ったのか、銀行のシステムを悪用した手口に迫りました。

発端は「電子証明書の再発行」促す電話

　「生きた心地がしなかったです。まさか自分がっていう気持ちです」

　こう語るのは、大阪府内の会社で経理担当の役員を務めるＡさん。去年１１月、会社のネットバンキング口座から７０００万円を奪われました。

　発端は１本の自動音声電話でした。

　（Ａさん）「まず、音声通知のような電話がかかってきて、『電子証明書の更新がされていない』というような（内容）」

　大手都市銀行を名乗りネットバンキングを使う際に必要な『電子証明書』の期限が切れたため、その再発行を促してきたのです。

　（Ａさん）「よくある音声で誘導されていくような電話で、『この方は１を』『この方は２を』というふうに」

　音声の指示の通りにプッシュボタンの１を押すと男性オペレーターにつながりました。

　男性オペレーターは『電子証明書などの更新・再発行手続き』の仕方をＡさんに淡々と話し始めたといいます。そして「メールを送るのでそこから更新作業を進めてください」と言いました。

指示通りに手続き「不審に思わなかった」

　すぐに会社の代表アドレスにメールが届きました。

　（Ａさん）「メールとかでも頻繁に連絡が来たりしますので、それほど不審に思わないような形でした」

　一見すると銀行からのメールのようだったので、疑わずにメールに記載されていたＵＲＬをクリック。

　銀行のネットバンキングとそっくりの画面が表示されたため、そこから『電子証明書の再発行』の手続きを進めました。

　（Ａさん）「（ＱオペレーターにＩＤやパスワードは言った？）直接言うことはしてないです。ログインして打ち込んでいく形だった」

２時間後…銀行からの電話で被害に気づく

　ところが電話を切って入力を終えると…

　（Ａさん）「２時間くらい後ですかね、銀行の担当の支店から電話があって『送金してませんか？』っていう電話だったんです。かなり焦った様子で」

　銀行から送金の確認電話がかかってきたのです。７０００万円が全く知らない会社の口座に送金されていたことを知らせる電話でした。預金は１７万円ほどしか残されていませんでした。Ａさんはこの時に初めて詐欺にあったと気づきます。

　警察に相談しましたが７０００万円はさらに別の口座に送金され、今も戻ってきていません。

７０００万円が奪われた手口

　今回の詐欺の手口について専門家はこう話します。

　（ＩＴジャーナリスト　三上洋さん）「偽サイトの窓の一部、ＩＤ・パスワード等を入れるところだけは本物に誘導するやり方です。本物のサイトに犯人のパソコンから（Ａさんが）入力しているんです」

　つまりこういうことです。届いたメールにあったＵＲＬをクリックしてアクセスしたのは銀行にそっくりの偽サイトで、Ａさんが入力したＩＤやパスワードなどの情報がそのまま犯人側のパソコンに入力される仕組みになっていたのです。その情報を使って犯人グループは電子証明書を再発行し口座を操作する権限を自分たちのパソコンに移し７０００万円を引き出したのです。

　（Ａさん）「銀行側の説明としては『他社（の企業）でも同じように同じ送金先に振り込まれている』『同じように被害にあった企業が数件ある』ということでした。」

　電子証明書を再発行などした場合、翌日からしか送金できない銀行もあるのですが、今回被害にあった銀行は利便性のため、すぐに送金できるシステムでした。

「犯人はシステムや弱点を熟知している」

　三上さんは犯人グループがこの銀行のシステムをあえて狙ったのではないかと指摘します。

　（ＩＴジャーナリスト　三上洋さん）「今回の場合は、明らかに都市銀行の特定の企業向けの『ネットバンキングのシステム』『システムのやり方』『電子証明書の発行の仕方』『サイトのデザイン』、全て犯罪グループ側が熟知している。犯人自身が操作して実際に弱点がどこにあるかみたいなことまで熟知していないとできないものです」

　警察の捜査の進展もなく、銀行からの補償もない現状にＡさんは…

　（Ａさん）「やるせないというか、１日にしてそれだけの大金を失ったことになるので、本当に重いことだと思います。もう少し（送金の）制限とかシステムとしてできたのではないかなと思います」

ＩＴジャーナリストの三上さんは、「多要素認証など対策をしている銀行の不備とは言えない」としつつも、80億円超と被害が拡大するネットバンキング不正送金については、「実際に被害が出ている以上、何らかの制限をした方がいい」とも指摘しています。

　振り込む前に、『事実確認をしっかりして、一人で判断しない』、ということも大事なことかもしれません。