銀行員時代に「不正送金対策」をやってきました。
銀行の不正送金に関して言えば、銀行のシステム上の欠陥で起きたケースはなくて、すべてが、顧客自身がフィッシングやマルウェアなどでログインや決済するための情報を犯人側に教えてしまっていました。
銀行としても認証方式の強化だったり、モニタリングは強化していますが、抜本的な解決策は顧客自身のセキュリティ意識の強化しかないなと思っていました。
そんな中で、セキュリティを教えるべき学校が不正送金の被害に遭ったニュースが報道されていました。
【ニュースの内容】
中学校の事務職員がパソコンに表示された“エラーメッセージ”に記載の連絡先へ電話し、相手の指示通りに操作した結果、学校口座から給食費や修学旅行積立金などが送金されてしまった事件です。金融機関からの問い合わせで被害が発覚し、警察にも通報されました。牧之原市は被害額を調査中で、教育長は再発防止のため情報セキュリティ対策を徹底するとコメントしています。
おそらくサポート詐欺なのではないかと思います。
ハッキリ言って、この手口については「既知」の手口であって、注意喚起も十分に行われている内容です。
それに加えて、組織に属する人間であれば「エラーメッセージ」が出たのであれば自身で表示された連絡先に電話をかけるなんて論外です。
まずは、システムを管理している部署に連絡して対応を確認すべきです。
まして、送金するための情報を犯人側に教えている(または自身が操作している)わけで、セキュリティに関する意識が欠如しているとしか言いようがありません。
再発防止のための情報セキュリティ対策の徹底といっても、まずは、リテラシーの向上しか対策はないように思います。
民間企業では当たり前にやっているセキュリティ研修を行うことは絶対に必要です。そして、テストに合格した人でないと「操作の権限を与えない」などすることも必要かと思います。
今回の問題ですが、個人の問題が大きいと思います。
銀行員時代、企業の過失による不正送金では、銀行側が補償できないケースを何度も見てきました。身内の甘さが通用するのは公的な組織くらいです。
学校であれば税金で被害を補填するのでなく、操作をした人や学校長などに弁償させることも対策の1つになるのではないでしょうか。
コメント
コメントを投稿