三菱東京UFJ銀行(MUFGと略す)が最近テレビで「フィッシングメールに気をつけてください、暗証番号をメールで聞くことは絶対ありません」というCMを繰り返している。
どの銀行も最近この問題にピリピリしているが、MUFGとゆうちょ銀行は突出して気をつけさせてくる。
なぜだろう。

Phishing
犯罪を未然に防ぐことにはならないが、こまめに入出金をチェックすれば最少の被害で済ませることが出来るだろう。
ぼくはクラウド家計簿「マネーフォワード」を使うようになって、毎日全金融機関のお金の出入りをチェックしているし、何万円も引き落としがあるとメールで通知してくれるので、この点はやや安心な気がする。
「マネーフォワード」自体が新たな脆弱性であると言えなくもないが、ぼくは安心な方に捉えている。

さて、昨日ツイッター経由で、面白いまとめを見た。

ATMスキミング被害を防ぐために知っておきたい15のポイント - NAVER まとめ

ATMのカード差入口に特殊な装置を取り付けたり、上にカメラを釣ったりして、カードの情報を読み取って出勤する犯行が続いているそうだ。

昔こういう話はニュースで読んだことがあって、よほど特殊な事例かと思っていたのだが、全世界である程度ひんぱんに起こっているそうだ。

でも、こんな貫通型カード読み取り装置なんかを製作するのは大掛かりな話である。
どんどん改良され、薄型化しているそうだ。
それ改良っていうか!
結構な技術を持った人が、CADとかで設計して、工場で生産して、実行部隊に卸しているのであろう。
「親方!また薄型化に成功しました!」
「そいつは良くやったな!」
頑張っても褒めてくれるの悪人だけっていう。
それだけの腕があったら、普通の会社で普通の家電品とか作ってるほうが安定した暮らしだと思うのだが。

コンビニのATMに取り付ける手間も大変である。
バイトがグル、という場合があるのかとも思うが、ATMの前にある人の手元をあまりしげしげとは見られないから(警備側であっても手元を録画したりするのは犯罪?)、さっと装置を両面テープで装着するのはそれほど難しくはないかもしれない。
数時間読み取ったらまたペリッと回収する。
それならある程度できそうな気がする。
(ぼくはやらないけどな)
しかし、ATM側に何らかの装置を接着されたら警報を出すぐらいのシステムはあってもいい気がする。

今日、特に事件が多いというコンビニと銀行の前を通ったので、用もないのにATMをチェックしてみた。
不審者に思われただろうか。
基本的に、差入口は平面になっており(突起しておらず)、緑のLEDがピカピカ点滅している。
普段から観察する癖をつけろ、という記述を読んだときは、そんなことをこっちに求めるのは無理筋のような気がしたが、せいぜい気をつければつけられる気もした。
一度ふだん使うATMをじっくり観察しておいた方がいいと思う。
自分で装置の存在を暴いたら痛快だろうなあ。
でも、アマチュアの客が騙されたとしても、プロの銀行が被害金額を保証すべき問題であろうとも思う。



マネーフォワードを使うようになってから、カードの引き落しもマメに見るようになった。
いや、マメに見るのが当然であるが、何しろ便利な世の中になったので、KindleやKoboの本とか、ネットコンテンツとか、カード決済で買う。
こまごまとした買い物をしていると、カードを何の用でどう使ったかつい見失いがちである。
いちいちカードのサイトに見に行くのは面倒なのだが、マネーフォワードだと一発で全期間が閲覧できてラクチンである。
上にも書いたがマネーフォワードを使うことじたいリスクであるが、ぼくは自分の方が信じられないので便利になったと思っている。

が、カードの引き落としは、一見して何のことかわからないやつがある。
字数と字種が制限されているためである。

「マスター国内利用 MTF アツプル アイチユ-ンズ ス」というのは明らかに「Apple iTunes Store」であって、Apple Storeから来る明細と照合すれば良い。
Apple IDもしばしばクラックされているので注意したい。

「NTTレゾナント」というのが分からなかった。
ネットで検索すると、そういう名前の会社があると分かったので、電話して金額と個人情報を伝えると、塩漬けになっているIP電話「050 Plus」の番号だと分かった。
さいきん「楽天でんわ」に切り替えたので、使っていなかった。
早速電話で解約した。

他に、後に書く事情でよく分からない会社名のがあった。
電話番号とおぼしき番号がアカウント名に入っている。
電話してみると、これがあなた、ネットで試みに閲覧してみたエロチックなコンテンツであった。
まあいやだ。
電話で解約した。

他にも、口座名で検索すると分かるのがあって、そこで分かる真の会社名でメールを検索し、解約した。
収納会社の名前で引き落としているので、わからないのである。

どうしてもわからないのが1件あったので、カード会社に電話してみた。

 カード会社:申し訳ありません、そこに書いている会社の名前しかわかりません
 ぼく:いや、そういう会社は検索してもないみたいなんですよ
 カ:恐れ入りますが、お客さまご自身で調査をおねがいいたします
 ぼ:「・・・」としか書いていないのに、どうやって調べるんですか
 カ:それはこちらではわかりかねます
 ぼ:では不正引き落としであってもわからないんでしょうか
 カ:お客様ご自身にご記憶はないんですか
 ぼ:ないんですよねえ
 カ:少々お待ちください

オリヴィア・ニュートン・ジョンの「そよ風の誘惑」(Have you ever been mellow)のオーケストラ版が流れた。



前にも書いたけど、こういう会社の待ち受け音声って「そよ風の誘惑」と「エンターテイナー(スティングのテーマ)」が多いね。

 カ:お待たせいたしました。それではこちらで調査いたしまして郵送でお伝えいたします

できるんじゃん。なんで最初から出来るって言わないの。そう思ったけど、あえて言わなかった。
そういう客を全部完璧に対応していたら手がいくらあっても足りない。
(すぐわかるシステムになっていないのがなぜかは、よく分からないが)
だから一応は、ダメモトで出来ないと言ってみる、それで何分ぐらい納得しなかったら電話対応のコストが合わないので郵送で対応する、というフローになっているのだろう。
1月ほど経って結果が郵送されたが、果たして身に覚えのある買い物であって、言っちゃあ何だがエロチックなコンテンツであった。
俺エロチックなコンテンツ好きだな!
しかしエロチックなコンテンツの会社ってなんで会社名を憚るんだろうか。
奥さんがカードの明細をチェックしている亭主とかの身を慮ってのことだろうか。
よく分からない。
ぼくとしては「さいしょ断られてもしばらく押せば郵送で対応せざるを得なくなる」という知見が得られてハッピーである。



そういえば暗号化インターネット通信のサービスOpenSSLに脆弱性があった。

OpenSSLの重大バグ「Heartbleed」発覚に伴い、あなたが今すぐパスワードを変更するべきサービス一覧 | gori.me(ゴリミー)

これはサーバーサイドで起こった脆弱性であって、サービスが対策を発表してから、パスワードを変更するといいそうだ。
ぼくの場合Gmail、Dropbox、Facebookが影響を受けた。
手間である。

便利な世の中になると、脆弱性が増える。
大犯罪もお手軽に起こせるようになってくるのである。
痛し痒しだ。