預金口座の不正譲渡の実態・対応(その3):不正利用口座の検知
預金口座の不正譲渡・不正利用が後を絶ちません。本稿では、「預金口座の不正譲渡の実態・対応」の3回目として、不正利用口座の検知を取り上げます。
後を絶たない預金口座の不正譲渡・不正利用をいかに検知するかを紹介します。
第1回(2023年12月)の記事「預金口座不正譲渡の実態」および第2回(2024年1月)の記事「預金口座の不正譲渡の実態・対応(その2):法人口座」において、SNS上で多岐にわたる金融機関の口座買取が指値つきで募集されていること、特に法人口座の指値は高くさまざまな詐欺やマネロンに悪用されている可能性があることを紹介しました。今回は、不正に譲渡され悪用される「不正利用口座」の検知に関して紹介します。
口座開設や継続的顧客管理におけるチェックの限界
全国銀行協会が公表する「盗難通帳、インターネット・バンキング、盗難・偽造キャッシュカードによる預金等の不正払戻し件数・金額等に関するアンケート結果および口座不正利用に関するアンケート結果について」(会員行からのアンケート結果を集計)によると、2023年4~9月の「口座不正利用に伴う口座の利用停止・強制解約等の件数」は約49千件で月平均約8千件強。3年前の2020年度の月平均約4千件から見ると、倍増しています。
各金融機関は、口座開設時において、犯罪収益移転防止法に沿った本人確認手続きのみならず、問診等デューデリジェンスの強化や反社先等のチェックにより、不正利用につながる口座開設の排除に努めています。特に、法人口座については、実質的支配者の確認を含む実態確認等の各種調査により、不正譲渡の目的での口座開設は抑制されていると思われます。
しかしながら、当初から売買する目的で正当な本人確認資料を用いて開設される個人口座は、銀行が不正譲渡の目的を見抜くことは容易ではありません。さらに、eKYCにおいても、近年、特に懸念されるのが、AIを悪用したなりすましです。顔認証を採用する場合、高度な画像生成技術を用いた偽物の動画を作成するディープフェイク技術や本人確認書類の偽造にも対策が求められます。万が一、他人の顔になりすまして認証を突破できてしまうと、顔認証の真正性を担保できなくなる恐れがあります。既存口座においても、休眠口座が動き出した場合にシステム的に検知することは容易ですが、今までの取引パターンと大きな変化がない場合は、法人・個人とも、システム的に検知することは容易ではなく、また、継続的顧客管理においても、銀行と顧客との接点が多くない場合は取得できる情報も限定的であるため、不正譲渡の動きを察知することは更に困難になります。
不正譲渡の早期検知のための取組み
上記の通り、口座開設における本人確認や従来型の取引モニタリングシステムだけでは、不正譲渡を事前に検知し防止することは限界があります。一方、口座の不正利用対策においては、少しでも早く予兆や不自然な事象を検知し、詐欺被害金の受け皿口座やトンネル口座として悪用されることを抑制する必要があります。
従来から、顧客の「口座異動」からの検知が行われています。例えば、口座開設後や休眠口座において少額の試し入出金が行われるケース(これは、犯罪者グループが不正取得した口座が利用できるかどうかをテストする取引)に加え、金融庁が公表している疑わしい取引届出参考事例にあるように、顧客属性に見合わない取引の発生(例えば、給与所得者の口座への頻繁且つ多額な入出金等)、取引内容の急激な変化(例えば、外国送金の仕向・被仕向送金の頻発や遠隔地取引の発生等)が考えられます。これらのシナリオは、既に多くの金融機関で取引モニタリングシステムの検知シナリオに実装しているものと思われます。ただし、取引モニタリングシステムでの検知は、一般的に一定期間経過後となるため、詐欺被害を早期に検知するという点では必ずしも十分と言えない上、個人口座の不正利用を検知するために閾値を下げると、大量の誤検知(偽陽性)が発生し、事務負担が増大し、真のリスクを見抜けなる可能性もあります。
このような従来型の「口座異動」の検知だけではなく、「口座へのアクセス」に着目した手法が、有効であると考えます。最近では、詐欺の被害金や犯罪収益は、不正譲渡された口座に移転されATMで、現金として引き出されるだけではなく、インターネットバンキングにより、さらに別の銀行口座や暗号資産業者等に送金されるケースが多く発生しています。つまり、犯罪者グループはインターネットバンキングで口座の入出金をおこなっています。
この点に着目したのが「口座へのアクセス」のモニタリングです。金融庁の疑わしい取引の届出参考事例にあるように、アクセスで利用されたIPアドレスやブラウザ言語等の特徴点(Digital Fingerprint、Digital Footprintとも言います)を把握し、口座名義人の顧客属性と照らして不審でないか、口座開設時や直近までの特徴点から大きな変更がないかをモニタリングし、不正譲渡による第三者の利用ではないかをチェックする手法が有効です。また、最近では、海外では、行動的生体認証(Behavioral Biometrics)を導入し、キーボードやマウスの動かし方やスマホの画面操作等を把握し、不審な操作がないかをモニタリングする手法も導入されているようです。
口座への不審なアクセス検知
このDigital Fingerprintのモニタリングは、インターネットバンキング不正送金の検知にも活用されている手法です。犯罪者グループが第三者の口座にアクセスする点では不正利用口座も同様であり、このモニタリング手法は不正利用口座の検知にも活用できるものです。
Digital Fingerprintは、ソフトウェア、ネットワーク、ハードウェアの3つの側面から構成されます。ソフトウェアではUserAgent、表示・利用言語の設定、タイムゾーン等、ネットワークではIPアドレス等、ハードウェアでは画面解像度等が挙げられます。各特徴点だけでは、不正か否かの判定はなかなか難しいのですが、多くの特徴点を組み合わせることで不正かどうかの判断をより容易にし、アクセスする端末の識別と不正検知を行うことが可能になります。口座の顧客属性と特徴点が一致しない口座(例えば、日本人なのに非日本語設定や日本とは異なる時間設定等)や従来の特徴点から大きく変わった口座(例えば、機種変更や端末識別子(PCなど)の変更等)等を検知することが可能です。
不審なアクセスの端末を検知した後のアクション
不審な口座アクセスを検知した場合の対応は、リスクの度合いにより手法が異なります。あらかじめリスクシナリオとリスク度合い(リスクスコア)を設定の上、高リスクの場合には顧客にコンタクトする前に出金制限のみ行い、顧客とコンタクトして真贋を判定する等、また、高リスクに至らない場合は口座名義人にコンタクトし不正利用の見極めを行い、コンタクト出来ない場合は出金制限を行う等の対応が考えられます。
さらに、警察からの凍結要請や自らの判断で不正利用口座が判明した場合、その口座にアクセスを行った端末識別子情報を活用して、不正利用されている、もしくは、その可能性がある他の口座を洗い出すことも可能です。犯罪者グループは、限られた端末で複数の口座を操作・悪用しているようです(1つの端末で数十口座にアクセスしているケースも判明しています)。不審なアクセスを行う端末を特定し、その端末がアクセスしている他の口座を洗い出し、口座凍結等の利用制限や口座名義人へのアプローチにより、不正利用される前に予防的に対処することが可能になります。
また、このような不審なアクセスを行う端末識別子情報は、単独の金融機関だけで活用するのではなく、複数の金融機関で共有し活用することで、不正利用の口座の抑止・撲滅につながることが期待されます。
本件についてご質問がございましたら、ページ上部のフォームよりお問合せください。
執筆者
あずさ監査法人
金融アドバイザリー事業部
ディレクター 松岡 靖典(まつおか やすのり)