2014年1月、ニューヨーク州司法長官が「口座乗っ取りに対する十分な不正防止対策を導入せず、かつ不正被害者への補償を拒否している」としてシティーバンクに対する訴訟を起こしました。テクノロジー面/行内コミュニケーション双方の課題が浮き彫りになっています。
■ 未解決の不正送金事件
ニューヨーク州司法長官がシティーバンクに起こした訴訟に関する発表(プレスリリース)では、犯罪者が被害者の口座を乗っ取り不正に送金したのに被害者の損失を補償しないのはElectronic Fund Transfer Act (EFTA)に違反するとし、2つの事件の概要に言及している。
2021年10月に発生した第1の事件は、被害者はフィッシング・メッセージのリンクをクリックしたが、個人情報は入力せず、かつ近隣の支店に対して「リンクをクリックしたので不安だ」との連絡をしたのにも関わらず、支店では「問題ない」として対応しなかったというものだ。被害者は、3日後にパスワードが勝手に変更され4万ドルが送金されていたことに気づいた。
第2の事件では、被害者はオンライン口座を閉鎖したとのニセ・メッセージを受け取り指定された電話番号へ連絡したところ疑義のあるトランザクションに関する確認コードを送ると言われ、その後3万5000ドルが送金されてしまったという。シティバンクは、どちらのケースも自行に落ち度はなかったとして補償していない。
■ 不正送金は検知可能だったのか
テクノロジー面を考えると、より高度な不正検知ソリューションが導入されていれば犯罪者による不正送金が検知できたのではないかと考えられる。
・バイオメトリックス連続認証:口座所有者本人のアクセスする際の癖(キー入力のスピード/パターンやアプリの使い方(スマホの傾き等))を記録しておき、それとは異なる動きでアクセスがあった場合にアラートを出す
・上記にデバイスIDやIPアドレス(ロケーション・データ)を組み合わせて異常アクセスを検知する
・AI/MLを活用し、通常とは大きく異なる送金額や送金先/送金パターン(異なる金額で同じ送付先へ連続送金がある等)を検知し、併せてパスワード変更等との関連を見出す
■ 訴訟の結末は?
シティバンクは、現時点では「更なる不正防止と顧客の資産保護に取り組む所存だが、損失補償の義務には該当しない」との声明を出している。金融不正に関して金融機関が提訴されるケースは今回初めてだと思われ、その判断はCitiBankだけでなく今後の米国金融業界全体の不正防止への取組みに大きな影響を与えると思われる。今後の動きに注目しておきたい。
