産経新聞の報道1によると、生体認証カードを使うと、ATM引き出し限度額が20倍に引き上げられることを使った詐欺が急増しているようだ。
報道された手口は以下のようだ。
- 詐欺グループが、東京都内の70代女性宅に3月、「老人ホームの社債購入のため名義を貸してくれ」と電話があり、女性が了承。
- 次に、「名義貸しは犯罪」などとトラブル処理費用を要求。
- 女性は電話の指示に従い、金融機関で生体認証キャッシュカードを作製。ATMで現金計約600万円を引き出し、だまし取られた。
6月にも都内の60代女性が同様に生体認証キャッシュカードを作らされた上で、1千万円を詐取されたのことだ。
これは、リスク管理プロセスがうまく回っていないことの現れであるように思われる。
リスク管理は、脅威を洗い出して対応するリスクを推定し、それに対する対策を施す。この事例は、この直ぐに思いつくような脅威をあげていなかったことをあらわしていて、リスク管理が出来ていないということの証左だ2。セキュリティとリスク管理を取り違えると起きがち。
同様のことは、マイナンバーカードでも起き得ることは、2009年位から指摘している。「大は小を兼ねる」として、実印相当の高い能力を持つものを配布して、普段使いさせようというのは間違いなのだ。そんなことをしたら、家屋敷を失う人が出る。だからニュージーランドは、そういう高いレベルのものは、市民には配らないことにした。これは、リスク管理がきちんとできていることの表れだ。その代わりに、必ず士業が間に入ることで事故を防いでいる。リスク管理を考えれば、「大は小を兼ねない」のは明らか。それぞれ適切なものをつかわなければならない。そして、それぞれのレベルをまたぐ時には、明確なUX上の違いがなければいけない。そうでないと、リスクの高い処理を低い処理と誤認して進めてしまう恐れが高くなる。
セキュリティベンダーの中には、「大は小を兼ねるので、全部高いレベルのクレデンシャルで置き換え、一枚でなんでもできるようにしましょう。」と提案する人たちがいるようだ。これは、コスト削減だけ見ている調達隊長的CIOにはウケが良いのは分かる。だがこれは、利用者をリスクに曝す行為である。自重を求めたい。
脚注
- 産経新聞『相次ぐ「生体認証カード」詐欺 ATM引き出し限度額の20倍 警視庁』 (2015.10.18) http://www.sankei.com/affairs/news/151018/afr1510180004-n1.html
- 別の見方をすると、自社のみのリスク管理はうまく回っていたとも言える。自社のリスクのみ洗い出し、利用者のリスクは洗い出さなかった。極端に言えば、自社のリスクを利用者に転嫁してしまって、「リスク管理はできた」というような事例も十分考えられる。