預金の不正引き出しと、システムへの過信
最近、預金の不正引き出しが色々な手口で問題となっている。
通帳に押印されている副印鑑を写し取り、印影を偽造して引き出しを求めるものがあった。
通帳と印鑑を別々に保管してあっても意味がないということだ。
この手口の場合、昔なら印鑑を偽造(刻印)するのだが、最近ではパソコンでいくらでも複写できるから困ってしまう。
ただ、パソコンで印刷した場合、当然朱肉では無いのだから、精査が不可能ということではない。
不正に引き出された預金者は、銀行に対して管理責任を問う声も多い。
初犯に対しては、何事にも未知のものが多く対策も困難なのだが、類似の犯罪が多発すれば、早期の対策も必要である。
そもそも、副印鑑は、1970年代の銀行のオンラインネット化に伴い、各地の支店で預金の引き出しが可能なように、通帳に押印されたものだ。
が、銀行での確認が簡単なように丸見えである。
印鑑の偽造(刻印)は、かなり困難ということも前提にあったかもしれない。
ただ、物理的に作れた印鑑を、もうひとつ絶対に作れないということではない。
この副印鑑の上に、見えないようにシールを貼って、銀行の照合機のみで見えるようにしていた銀行もあった。
やがて、最近では、システムの高度化により、副印鑑を通帳上に押さなくても、銀行側で印影照合が可能なシステムが普及し、副印鑑は廃止の方向にある。
キャッシュカードが普及してくると、暗証番号が印鑑の代わりを務めるようになった。
が、キャッシュカードそのものを失わなくても、いくらでも危険は存在する。
預金引き出し字に、利用明細が印刷されるが、これに無頓着な人も多い。
そして、この利用明細には、口座番号が記載してある。
キャッシュカードは、プラスチック製のカードで、エンボス加工などがあり、普通の家庭では複製は困難だが、不可能ということはない。
磁気ストライプには、口座番号などのほかに、当初は暗証番号が記録されていた。
CD自動預金支払機で、この暗証番号と、預金者の入力する暗証番号の一致を確認するためである。
もしカード上に暗証番号をペンで数字で書き込んでいれば、見てわかるが、磁気ストライプなら特殊な機械がないとわからない。
どこの家庭にでもあるものでは無いのだが、ラジカセの磁気ヘッドその他の組み合わせにすぎないから、作れないことはない。
犯人は必死だから、この程度の機械はいくらでも入手可能だ。
そして、この手の機械を通せば、記載した情報(暗証番号も)がわかってしまうし、書き込むことも不可能ではない。
ちんけな銀行のシステムなら、カード記録の暗証番号のみの照合でオッケーになるから、口座番号がわかれば、カードに自分勝手な暗証番号を記録してしまうだけで、いくらでも出金できてしまう。
この欠陥に気がついた金融機関は、暗証番号の照合を、カード記録内容によるCD自動預金支払機ではなく、ホストコンピュータで行うことにしたので、自分勝手な暗証ではガードできるようになった。
もちろん、やがて、カードに暗証番号を記録する方式自体、廃止の方向には有る。
しかし、これで万全かといえばとんでもないことで、CD自動預金支払機周辺にカメラを設置し、暗証番号の入力を読み取ろうとする努力を犯人は惜しまない。
先般、ゴルフ場のロッカーから、利用者のカード情報が大量に盗み出される事件があった。
支配人が一味では参ってしまう。
が、このゴルフ場のロッカーの暗証システムも、間抜けなシステムだ。
マスターキーを使うと、全ロッカーの暗証番号が印字できるという。
番号を忘れた人のためにというが、そんなものはマスターキーそのもので開くようにしておけば済む話だ。
秘密というものは、手元から離れた後は、いくらでもオープンされてしまう。
その観点から、最近では、暗証番号は、システム管理者でも見えないようにすることが多い。
見えれば悪用を思いつくからである。
また、暗証番号は、本人が忘れないようにすることも必要であるから、やみくもに覚えにくいものには出来ない。
といって、電話番号や生年月日など、類推できるものでは簡単に破られてしまう。
また、カードなどが複数あれば、それぞれ別の番号とすることにも限界がある。
その意味で、一般に、同一の番号を暗証番号にする例も少なくないようだ。
ゴルフ場での犯罪は、ロッカーの暗証番号とキャッシュカードの暗証番号の一致が被害の要員である。
磁気カードはこのように偽造が出来る時代になったことから、ICカードだと騒ぐ向きがある。
現時点でICカードの偽造が困難と思っているだけで、やがてそんなものはいくらでも破られてしまうだろう。
技術への過信が、全ての問題の温床ということに気づく必要がある。
さて、キャッシュカードの本人確認の問題だが・・・
それ以前に、キャッシュカードそのものの本物/偽造の認証はどのようにしているのだろうか。
磁気データによるものだけで十分とするなら甘すぎる。
キャッシュカードには、金融機関の絵柄や、口座番号氏名などのエンボス加工がしてある。
もちろん、これは各金融機関でも違うし、個々の金融機関でも発行時期や契約、合併等によってさまざまなカードが存在するのだ。
これを個々に認証するのは困難だろう。
が、たとえば、使用カードの記録をとることは可能だ。
使用カードの写真を写すとか、エンボスを記録するとか。
もちろん、カード自体をいくらでも偽造できる時代であるから限界はある。
しかし、現状では、たとえばテレホンカードに磁気情報を書き込んでも、ATMは処理してしまうだろう。
厚さが違うというなら貼りあわせばよいし、大きさが大きすぎるなら切り落とすとか、小さすぎるなら鉄道会社の磁気カードを使えばよい。はたまた、録音用磁気テープを貼ってもよいだろう。A銀行のカードの磁気を書き換えて使ってもよい。
金融機関では、預金の出し入れをATMでやらせたがる。
が、窓口でも、本来処理は可能だ。
そのときに、このテレホンカード等を出して出金を要請したらどうなるだろうか。
窓口のお姉ちゃんは「これはキャッシュカードではありませんから取引できません」というだろう。
さて、ここで、「でもここの磁気にはキャッシュカードと同じものを入れてあるから処理できるでしょう」といったときのリアクションが楽しみだ。
「それなら出来ます」と出金させるだろうか。
「ご本人様の確認資料を見せてください」とでも言うだろうか。
ならば「本人だから暗証番号を知っています」と突っぱねれば済む話だ。
そうなのだ。本来確認するのは、磁気情報による本人確認以前に、カードそのものの認証なのだ。
もちろん、こういった機能をATMに持たせるのはコストがかかるかもしれない。
しかしだ。
CD導入当初の約30年前、記憶の範囲でも、富士銀行や三菱銀行では、カードのエンボスを、認証記録として記録し、支払い明細書に印刷している。
が、最近では、カードの物理的情報ではなく、データ記録を使用している。
すなわち、偽造カードか、本物かの認証を放棄しているわけだ。
こういったシステム化の判断は、預金者の要望ではなく、金融機関の判断であり、過失でもある。
このリスクは、預金者が負うものなのだろうか。
コスト管理は金融機関のものだ。
そして、それに伴うリスクは、金融機関が負うべきだろう。
金融機関は、預金者に落ち度がないことの証明を求めている。
これは、カード持参者を本人として扱わざるを得ない事情があったことによるもので、当時の技術水準では、カードの偽造は困難であったことも、この前提に存在する。
が、コンピュータが発達した今日、いくらでも磁気情報はいじることが出来る。
されば、どのカードを利用しての出金かを、金融機関が確認証明すべきだろう。
たぬきが枯葉を3枚出して「3万円」といったくらいで騙されたではすまないのだ。
使用カードの写真がもしあれば、白紙の台紙、もしくは、暗証番号などのメモが記載された、もちろん金融機関発行ではない偽造品である証明は取れているはずだ。
金融機関職員によるコンピュータ犯罪といわれた、端末不正操作による被害。
これは、預金者に証明義務があるのだろうか。
カードの盗難は、カードの管理責任も存在する。
が、ATMにカメラを仕掛け、各種情報を盗用出来る時代に、金融機関のセキュリティ管理は更なる高度化が求められる。
預金者の管理責任の範囲は限定されてしかるべきだ。
さて、ようやく金融庁も、預金者保護に動き始めた。
が、今度は、悪質な預金者が、詐欺を考えるだろう。
自分のカードを使って出金し、にもかかわらず預金が引き出されたと。
ICカードとか、機械に頼るのもよいのだが、本来の問題点、基盤を見失うと、問題が複雑化するだけで、なんら解決もしないものだ。
新規作成日:2005年1月21日/最終更新日:2005年2月20日