私になりすましてログインし、預金まるごとを他人口座に送金された形です。
ウイルスで引っかかったわけではなさそうです。
●送金には第2暗証(乱数表)が必要。
●第2暗証のカード自体はもう何年も前にハサミを入れ破棄。
●普段の取引操作では、第2暗証を暗記して対応。
●PCにはウイルス対策ソフトあり。更新あり。異常検知なし。
【質問1】上記の状況でどんな手口が考えられますか?
【質問2】銀行は被害届を出さないそうですが、この手の被害は泣き寝入りが基本なのでしょうか?
よろしくお願いします。
(淡々と書き込んでみましたが、結構精神的にズタボロです...)
これだという確証があるわけではないですが、この状況であり得る例をいくつか挙げてみたいと思います。
ウィルス対策ソフトは一般に出回っているウィルスから作られたパターンファイルを元にチェックを行います。
この場合、特定個人や特定企業を狙ったウィルスや、広く出回っていないウィルスを見つけられないことがあります。
最近のウィルス対策ソフトでは、これに対する対策としてヒューリスティック検知と呼ばれる、「ウィルスの挙動を元に検知する」機能を持っているものもありますが、これも完璧なものではありませんので、見逃す可能性はあります。
(URLを除いては)全く見分けのつかないフィッシングサイトを作ることはそう難しいことではありません。
EV SSLではないためアドレスバーに銀行名は表示されませんが、緑色の鍵アイコンを表示させることもできます。
何らかの方法でここに誘導され、アドレスバーの銀行名を確認せずに第二暗証を入れてしまった場合、フィッシングサイトの作者による送金が可能になります。
銀行のページでは「暗号表の全てを入力させることはありません!!」と書いていますが、ちょっと複雑なサイトを作っておけば1項目の入力で攻撃することができるため、通常の振込みを装って入力させることも可能です。
通常銀行サイトとの間の通信はSSLにより暗号化されいるため、盗聴する人がいたとしても中身が見えないようになっています。
公共の場で無料の無線LANなどを使用した場合もこのおかげで盗聴される危険は無いわけですが、カフェ自体や、その客の中に悪意を持った人物がいた場合、SSL無しのProxyサーバを経由させる可能性があります。
この場合、質問者さんのノートPCやスマホとProxyサーバの間の通信は盗聴・改ざんが可能なため、銀行との間の通信を見ることができます。
この場合はアドレスバーに鍵アイコンが出ませんが、それを確認せずに銀行パスワードや第二暗号表の値を入れてしまった場合には攻撃が可能となります。
ネットワークやセキュリティはそれなりに専門ですが、警察関連は専門外なのでこちらは参考程度とし、警察・弁護士への相談をオススメします。
銀行が被害届を出さないということは、銀行としては正規の手段で振込手続きが行われ、それにしたがって振込を行っただけなのかと思います。
この場合、被害を受けたのは銀行ではなく、質問者さんとなるため、被害届の提出に銀行が関わることはなく、質問者さんから警察に対して被害届を提出する必要があるかと思います。
また、全国銀行協会においては2008年よりインターネット・バンキングにおける不正な払戻しについては預金者に過失が無い場合は全額補償としています。
ほぼ全ての銀行はこの協会に所属している為、例えば東京三菱UFJ銀行のサイトを例にとると、以下の条件をみたせば返金を行うとなっており、ここにも不正送金の被害を受けた個人による被害届の提出が含まれています。
1. ご契約番号等の盗用または不正な振込に気付いたらすみやかに当行に通知していただくこと
2. 当行の調査に対し十分な説明を行っていただくこと
3. 警察に被害届をご提出または被害のご相談をいただくこと
東京三菱UFJ銀行:http://www.bk.mufg.jp/info/security/fusei_hikidashi/04.html
全国銀行協会「預金等の不正な払戻しへの対応」について:http://www.zenginkyo.or.jp/abstract/news/detail/nid/2933/
詳細かつ分かりやすくまとめて頂き、ありがとうございました。心強いです。。
2015/12/04 17:05:57まとめて頂いた情報を参考に今後の諸々を進めていきたいと思います。
本当にありがとうございました。