いわゆる振り込め詐欺の手口は、いつの時代にも手を替え品を替え新しい手法が開発され続けてきているが、今年3月にはこれまで聞いたことがない手口の詐欺事件が発覚した。読売新聞オンラインが報じたところによると、女性のマイナンバーカードの情報を元にネットバンキング口座を無断で作り、そこに本人に現金1400万円を振り込ませたという。

 これだけでは何がどうなっているのかわかりにくいが、これはマイナンバーを使った本人確認の穴を突いた犯行と見ていいだろう。今後の課題も含め、この事件から読み取れる情報を整理してみたい。

●口座とは無関係なアクション

 2024年1月、70歳代の女性宅に「総合通信局」の職員や警察官を名乗る人物から「口座の情報が流出している」などと電話があったという。

 警察はまあわかるが、総合通信局、俗に言う総通局は全国11箇所ある総務省所管の機関で、各地域における電波関係の行政事務、例えば違法無線や受信障害調査、無線局の開設申請などを扱っている。スマートフォンも無線機器なので無関係ではないが、口座の情報流出といった個別具体的な案件は扱わない。北海道の事件なので、おそらく北海道総合通信局を騙ったのであろう。

 口座情報の流出で、なぜかスマートフォンの機種変更が指示された。口座そのものに関する手続きではないため、油断したのかもしれない。女性はスマートフォンのビデオ通話機能を使い、手続きのために自分の顔とマイナンバーカードを提示した。その時に本人確認として、氏名や住所、生年月日などもしゃべらされたのだろう。

 この動画が相手側に記録されていた。最初から顔とマイナンバーカードの画像の収集が目的なので、この機種変更手続き自体も嘘である。

 犯人はその本人画像とマイナンバーカードの画像を使い、実在するネットバンキングに、女性名義の口座を開設した。もちろん暗証番号は犯人しか知らない口座である。

 その後犯人は、実際の本人名義の口座が凍結されると嘘をつき、本人の口座から、犯人が作ったネットバンキングの口座に預金を移動させた。本人は知らない口座ではあるものの、自分名義のため不審に思わなかった。銀行側も振込先が本人名義の口座であることから、大量の現金移動も不審に思わなかった可能性が高いという。

 こうしてネットバンキング口座に振り込まれた現金を犯人が引き出し、騙し取られたというわけである。多くの詐欺事件は、現金をやカードを直接受け取る「受け子」から足が付くケースが多い。どこかで現金を引き出すことになるだろうが、こうした手口で作った複数の口座に次々と振り替えしていけば、追いかけるのは相当困難だし、時間もかかる。その間に国外逃亡されてしまえば、主犯を取り逃がしてしまう可能性が高まる。

●顕在化した社会のバグ

 この事件では、多くの社会的バグが利用されている。もっとも大きなバグは、本人の画像とマイナンバーカードの画像があれば、ネットバンキングの口座が開設できてしまうことだろう。もちろんオンラインでも住所や氏名は登録するのだが、本人確認もオンラインで行なわれることになる。それを本人画像とマイナンバーカード画像に依存した設計が、まず問題である。

 マイナンバーカードは、国家が発行した写真付きの証明書として利用できるというのが1つのウリであり、運転免許証相当の効力がある。ただこの確認は、物理的に本人を目の前にしている時に有効なだけであり、本人の姿すらデータという状況では成立しないはずだ。ネットバンキング側では、マイナンバーカードを写した画像データが、本人画像と一緒に第三者に流出する可能性を低く見積もっていたのだろう。

 2つ目のバグは、高齢者がスマートフォンを扱えるはずがないからスマートフォン系の詐欺は不可能という思い込みである。高齢者は皆デジタル機器に疎いという印象を持たれがちだが、それは人によるとしか言いようがない。好奇心旺盛な人だったり、教える人が近くにいる人なら、40代50代ぐらいの人と変わらないレベルで扱える人もそこそこいる。特にスマートフォンはOSの種類も2つしかないので、操作のバリエーションも知れている。ビデオ通話に出ろ、カメラをONにしろというだけなら、指示されればまず問題なく操作できる。

 3つ目のバグは、本人名義の口座同士の資金移動なら、不審に思われないという事である。他人の口座に1000万円も移動するのなら周囲の人も銀行員もおかしいと思うだろうが、移動先が本人名義なら、その口座は本当に自分のものかなどと確認しない。この事件はATMによる操作ではなく、窓口処理であったにも関わらず、誰も止められなかった。

 もちろん高齢者を狙った詐欺の大半は、本人の迂闊さというバグを利用したものだ。口座が凍結される銀行の窓口に来店しているのであれば、それを一言確認すれば良かったのに、とも思う。口座情報の流出を、自分の過失だと思っているので、聞けなかったのかもしれない。

 また自分の知らない自分名義の口座があるという事に気づけなかったのも、残念である。ただ、昔作ったがあまり利用していない口座もいくつかあるという状況だったり、信用金庫や郵便局系列といった大規模ネットワークの場合、その口座はまとめて○○ネットバンキングと呼ぶようになったのだといった嘘をつかれていたら、気がつかないかもしれない。高齢者本人を責めても仕方がない事で、トラブルが発生しないように制度設計するのが、社会の責任である。

●塞ぐべき穴はどこか

 今回のような事件を防止するために仕組みとして打てる手としては、ネットバンキング口座開設時の、本人確認の方法を変える必要がある。オンラインだけで簡単に開設できるのがウリではあるが、どうしても本人確認が甘くなる。

 そこを補完するためにマイナンバーカードに頼ったのだろうが、オンライン上でマイナンバーカードが効力を発するのは、カードとしての物理的な存在ではなく、内蔵されている証明書データのほうである。マイナンバーカードを使うなら、やはりマイナポータルのように、物理カードの接触と暗証番号の組み合わせで電子証明書が取り出だせるような仕組みの導入は避けられないだろう。

 マイナポータルも別のサイトに飛ばされる度に何度も暗証番号入れさせやがってしつこいんだよと不評だが、こうした「何度も無駄に確認」みたいなハードルが、詐欺に気づくきっかけになるかもしれない。

 さらにネットバンキング企業は、現在保有する口座に対して一斉に本人確認を行なうといった措置は必要だろう。いくら本人の情報を元に口座が作られたとは言っても、当の本人が知らないというなら架空口座である。あそこは詐欺の踏み台パラダイスという評判が立てば、銀行としての信用は下がる。

 ATMからの現金引き出しには、1日の引き出しの限度額が設定されている。連日限度額いっぱいを引き出していれば、それこそ口座が凍結されてしまう可能性があるため、この事件のような1400万円もの金を現金化するには、それなりに大変なようにはなっている。しかしこの口座から別の複数の架空口座に送金し、それぞれから1日上限の50万円ずつ日にちを空けながら引き出すなどすれば、引き出しは可能である。

 これの問題は、別の架空口座を作られてしまった本人が、犯人として捜査対象になることである。ある日突然、振り込め詐欺の犯人として捜査員が踏み込んでくるといった事態になりかねない。

 すでに同様の手口で、架空口座は作られているかもしれない。もし身近に高齢者がいるなら、ビデオ通話でマイナンバーカードを提示した事はないか、確認してみてはどうだろうか。