0
会員になると、いいね!でマイページに保存できます。
共有する
米国の銀行がPayPalが所有するモバイル決済サービス「Venmo」などに対抗するために提供するようになった即時決済Zelleにおいて、不正事案が次々と起こり、社会問題となっている。日本でも大手銀行がメールや携帯番号による送金サービス「ことら」の提供開始を予定しているが、問題はないのか? 事例を研究する。
米国の銀行が提供する即時決済のZelle
米国では、P2P型の送金サービスについて複数の企業が鎬を削っている状態にある。PayPalが所有するモバイル決済サービス「Venmo」が有力なサービスだったが、米大手7銀行のコンソーシアムで運営される「
Zelle(ゼル) 」がここ数年で、多くのユーザーを獲得し、流通額1位を獲得している。
しかし、このZelleの利用時に不正事案が次々と起こっており、社会問題にまで発展している。本稿ではP2P型の送金サービスが発展した経緯やZelleの仕組みを説明することで、日本でも大手銀行がメールや携帯番号による送金サービス「ことら」にも発生しうるリスクについて考察する。
まずZelleについて、サービス母体や、送金プロセスについて説明する。Zelleは、米銀大手7行(※)が共同出資するアーリーワーニングサービス(
Early Warning Services )が運営しているP2P型の送金サービスである。同社によれば、米国内の流動性預金口座の74%にあたる銀行・信金・信用組合などが決済サービスに参加している。
※:大手7行とは、バンク・オブ・アメリカ(Bank of America)、キャピタル・ワン(Capital One)、JPモルガン・チェース(JP Morgan Chase)、PNCバンク(PNC Bank)、トリスト(Truist、旧BB&T+Sun Trust)、U.S.バンク(U.S. Bank)、ウェルズ・ファーゴ(Wells Fargo)
Zelleは、受取人のメールアドレスか携帯番号がわかれば無料で送金ができる仕組みを提供しており、Zelleを使った送金は以下のようなプロセスで行われる。
Zelle登場の背景とは
米国でP2P型の送金サービスが成長し、Zelle登場の背景には何があるのか。
米国でP2P型送金サービスが普及する前の送金手段としては「小切手」が中心であり、受け取った小切手を銀行の支店まで持参して換金または口座入金するのが一般的であった。
銀行間の資金決済も小切手交換所から発展してきており、小切手のやりとりの電子化を進めるACH(Automated Clearing House)が存在するものの、日本の全銀システムにあたる全行が一律に決済できる決済インフラはなかった。中央銀行にあたる連邦準備制度(Federal Reserve)が運営する「Fed Wire」など全行が接続する送金システムも存在するが、利用手数料も高く、高額送金に用途が限定されている。
最近ではATMでの小切手預け入れのほか、モバイルアプリで小切手をカメラ撮影することで預け入れも可能になり、銀行前の行列に遭遇する機会は減っているが、小切手を代替するデジタル決済へのシフトも顕著となっている。
インターネットの出現とともに小切手を代替する資金移動方法が色々と出現しているが、最初にメジャーな存在となったのが、メールアドレスだけで資金移動を可能としたPaypalである。Paypalはオークション参加者間の決済を手軽に実現したことで利用者を拡大し、脅威に感じた大手各行も類似サービス(Citibank:C2it、Wells Fargo:Billpoint、Bank One:eMoney Mai)を開発したが不発に終わった歴史がある。
その後携帯番号だけで個人間送金を可能にするVenmoというサービスが若年層を中心に爆発的に利用を伸ばし、結局Paypalに買収されることになった。同様の個人間サービスとしてはBlock(旧Square)のCash Appに加え、Apple PayやGoogle Payも参入している。
PaypalやVenmoの提供する利便性の高い送金サービスに対して銀行離れが進んだこと、実際に流動性資金の滞留が減ったことに対抗するためにBank of America, JPMorgan Chase, and Wells Fargoの3行は2011年にclearXchangeを設立して個人間決済のサービスを構築に着手、2017年には他の4行の参加を得てシステムを前述のEarly Warning Servicesに移管するとともに、Zelleというサービス名に改称したという経緯がある。
Zelleの利用は順調に拡大しており、2021年には取扱額が4,900億ドルといった規模に達しており、同年2,300憶ドルであったVenmoをはるかに凌ぐ存在となっている。
Zelleで発生している不正事案
フィッシングやPC乗っ取りなどでログイン情報を不正取得することによってZelleに不正ログインされて資金が搾取される案件も、他のデジタル決済と同じように起こっているが、最近件数が増えているのが、以下のようなソーシャルエンジニアリング(行動のミスや心理的な隙などから個人が保持する秘密情報を得る手法)にもとづく不正事例である。
まず、被害者の携帯電話あてに取引行(A銀行)を装って「あなたはZelleで○○ドル送りましたか? YesかNoを回答してください」といったショートメッセージ(SMS)が送られてくる。
「NO」という回答を返すと、すぐにA銀行を装った番号から電話がかかってきて、「A銀行の者だが、○○ドルの送金が行われているので、取消操作が必要です。指示に従って操作してください」と言われる。
被害者は銀行と信じて犯罪者の指示に従って画面操作することになり、まずはZelleと携帯番号の紐づけを一度解除させられる。
その裏で、犯罪者はその番号と犯罪者の口座を紐づける操作を行う。
そして、取消操作ということで、被害者自身の携帯番号あてに○○ドルの送金を行わせる。
これにより、そのまま○○ドルが犯罪者の口座に入金される。
途中の説明や操作内容についてはいくつかのバリエーションがあるようだが、被害者に取引行からの連絡と思い込ませること、被害者の不安心理につけこんで操作を誘導すること、被害者が取消と信じるプロセスで犯罪者口座への資金移動を行うこと、といった点が手口の特徴である。
日本でも、お年寄りにATMの操作を誘導する「還付金詐欺」の事案が発生したが、そのモバイル送金版だとも言える。
【次ページ】日本での「ソーシャルエンジニアリング対応」をどう考えるか?
