パスワードのクラウド保存で不正利用されても補償外？ゆうちょ銀行の強気な姿勢

　2022年1月17日からATMでの硬貨入出金に対し手数料を取るとして、利用者からブーイングを受けたゆうちょ銀行。6月にも、あるメールをゆうちょダイレクト利用者に送った。筆者も受け取った当事者の一人だが、その内容に思わず二度見してしまった。件名こそ「お客さま番号、ログインパスワード、電話番号などが盗取される犯罪にご注意ください」という注意喚起で、今時どこの銀行も送ってくる内容だろうと思ったのだが、中身はなかなか厳しいものだった。

　それは「インターネット上（クラウド）のメモアプリ等に保存した、ゆうちょダイレクトのお客さま番号、ログインパスワード、電話番号などの情報を、第三者が盗み取る手口の犯罪が発生しており、これらの被害に遭わないために、次の対策を実施してください」と続く。

　具体的には「クラウドサービスにパスワード等の個人情報を保存しないでください。スマートフォンやパソコンのバックアップ機能等で、クラウドサービスにパスワード等を保存した場合、クラウドサービスへの不正アクセスにより、当該情報が流出する恐れがあります。スマートフォンやパソコン上のメモにパスワード等を保存している場合は、クラウドサービスに自動的にバックアップされていないか、設定をご確認ください」とある。

　また、パスワード等をWEBメール本文や下書きとして保存した場合、WEBメールサービスへの不正アクセスにより当該情報が流出する恐れがあるので、危険だという。確かに、注意喚起としてはそうかと思わされるし、わざわざここまで具体的に描くということは、実際にそういう例があったのだろう。現在このような方法を使っている人は、確かに対策を取った方がいい。

「クラウドに保存」は利用者の重大な過失に当たる？

　ここまでは至極ごもっともだ。しかし、驚いたのはその先だ。

　もし、ゆうちょダイレクトの利用者がクラウドサービスに保存した情報を盗み取られ不正利用の被害に遭った場合、補償の対象にならなかったり補償額を減額する場合があるのでご注意を、と書いてあるではないか。これは、注意喚起というには相当強気な姿勢だ。

　銀行は、これまで不正利用に対し被害額を補償してきた。ただし、「被害に遭った本人に故意あるいは重大な過失があった」「暗証番号等の管理に重大な過失があった」場合は補償の対象外という立場を取る。重大な過失とは、他人に暗証番号を教えた・暗証番号をキャッシュカード上に書き記していた、などが相当する。

　また、ID・パスワードをスマホなど情報端末に保存しており、その端末が盗難・紛失して情報を盗まれた場合もそうだという。それに加えて、クラウド保存も問題視されたのだ。

　ゆうちょ銀行のサイトによれば、実際の手口として偽サイトでApple IDを盗み取り、iCloudサービスに保存しているiPhoneのバックアップデータに不正アクセスした事例があったとのこと。それを受けての注意喚起らしい。

　銀行の中でもゆうちょ銀行は利用者が多いため、不正利用のターゲットにされることが多かった。記憶に新しいところでは、2020年のドコモ口座不正利用事件だ。暗証番号を含む銀行口座の情報が盗み取られ、第三者が作ったドコモ口座に勝手に連携された結果、預金が勝手に使われてしまった。そのとき、最も被害額が多かったのがゆうちょ銀行だ。社会的影響が大きい事件でもあり、銀行側もセキュリティ対策にそれまで以上に取り組んだことだろう。あの事件が、今回の厳しい注意喚起メールにつながったのではないだろうか。

　正直、「クラウド保存は危険なのでやめましょう」までなら納得できるが、「クラウド保存は危険と何度も言ったのにやめなかったのは、利用者側の重大な過失に当たる。補償はしませんからそのつもりで」と断言されるのはつらいものがある。不正利用されて一番ダメージを受けるのは口座保有者であり、また悪いのはサイバー犯罪者なのだ。一足飛びに「あなたの過失でしょう」と突き放すのはどうなのか。

　他のメガバンクからは同内容のメールを受け取ってはいないが、今後は他行もそういうスタンスになるのだろうか。ぜひ注視していきたい。

「個人情報の期限が切れます」とのメールが

　ドコモ口座事件では、スマホ決済のd払いが悪用された。こうしたキャッシュレス決済手段の多様化で、それを悪用した不正利用事件が今後も増えるだろう。特にスマホ決済アプリはアカウントを作るのが簡単なので、悪用もされやすい。

　なお、このジャンルで最も利用者が多いのはPayPayだが、案の定、グループ銀行であるPayPay銀行を騙る詐欺メールがやたらと送られてくるようになった。PayPayの利用にあたり、PayPay銀行に口座開設をした人が多いのだろう。

　驚いたのは、「銀行に登録した個人情報の期限が切れているので更新してください」というメールが届いたことだ。もちろん、偽物だ。まず、宛先にはこちらのアドレスのみで、口座保有者である人名が書いていない。それに「銀行に登録した個人情報の期限が切れる」とは、まるで意味不明だ。

　この二点だけですぐにメールを削除したため、その先がどうなるかはわからなかったが、フィッシング対策協議会のホームページを見に行くと、まさに緊急情報として「PayPay銀行を騙るフィッシング」という事例が掲載されていた。それを見ると、メール内のリンクに誘導され、その先で口座情報やログインパスワードを入力させる仕掛けになっている。

　かつてのフィッシングメールは「異常なログイン」や「アカウント凍結」など、受け取った人が焦るような文言が多かったが、最近は逆に「登録中の個人情報を確認してください」「パスワードが長期間変更されていないので変更してください」といった、平時の手続きを装ったものが多くなってきた。そのせいか、ぼんやり読んでいるとうっかりリンクをクリックしそうになる。しかし、メール内のリンクをクリックしないのは基本中の基本だったことを思い出して、公式サイトからログインすると、案の定偽物だとわかるわけだ。

　デジタル社会に生きている我々は、一人が何十ものアカウントやパスワードを保有し、日々それを使っている。そのすべてを自身の脳内で管理することは不可能だ。いろいろな方法で管理してきたが、デジタル技術であるクラウド保存すらダメ出しされるという皮肉な時代になってしまった。どんな方法を取るのが正解かは各人が決めるしかないが、この先多くの人が高齢化し、どこにどのパスワードを保存したのかまるで思い出せなくなったとき、いったいどうなるのだろう。いや、他人ではなく、自分自身の20年後を思うとぞっとする。