LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

テクニカルレポート | 

迫るデジタル給与払い制度の解禁、キャッシュレス決済サービスのサイバー金融犯罪リスクとは

金融犯罪対策センター(Financial Crime Control Center:以下、FC3)の新林です。私たちFC3は、金融サービスや決済サービスを標的とし、利用者の資金窃取を目論む、「サイバー金融犯罪」による被害の低減・撲滅を通じて、安心・安全な金融サービス環境の実現を目指しています。

昨今、「デジタル給与」というキーワードが話題となっています。これまで給与支払いは現金や銀行口座への振込などの方法が一般的でしたが、電子(デジタル)マネーを扱う資金移動業者、つまりスマートフォン決済サービスの口座に対して給与支払いが可能となる新しい仕組みのことです。

本記事では、デジタル給与払いという新しい制度の施行に伴って懸念されるサイバー金融犯罪リスクについて、私たちFC3の目線からお伝えしていきます。

デジタル給与払いとは

最近、企業の給与支払いが電子マネー口座にも行えるようになる新しい制度、「デジタル給与払い」が話題となっています。この制度は2023年4月から施行される予定で、既に電子マネー口座を扱う複数の資金移動業者が対応を検討していくと公表しています。

電子マネー口座に給与支払いできる「デジタル給与払い」

デジタル給与払いとは、企業が被雇用者(従業員)の同意を得た上で、資金移動業者が提供する電子マネー口座へ給与を支払える制度です。現在の給与支払い方法は、現金払いや銀行口座への振込などの方法で行われています。新制度の施行された後には、例えば資金移動業者の提供するスマートフォン決済アプリサービスの口座にも給与支払いが可能になります。

なお、これまでの給与支払い方法(銀行振込など)は新制度の施行後も継続して利用可能であり、企業側が支払い方法を強制指定できないことが前提です。つまり、新制度によって被雇用者(従業員)側の給与受取方法の選択肢が1つ増えることになります。
新制度の導入推進の現状については、2022年10月26日に厚生労働省が新制度導入の改正案を了承しており、2023年4月より施行予定となっています。

デジタル給与払いのイメージ図
デジタル給与払いのイメージ図

指定される口座はスマートフォン決済アプリサービスが中心か

現在は、新制度の導入に向けた準備が進んでいる状況で、既に複数の資金移動業者が自社のサービスにおけるデジタル給与払いの対応を検討していると公表しています。具体的には、スマートフォン決済アプリサービスを提供する会社などが候補となっています。現状、公表はしていない他の資金移動業者も、対応について検討しているのではないでしょうか。そして今後、スマートフォン決済アプリなどの浸透が進むにつれて、対応する資金移動業者の増加も予想されます。

なお、資金移動業者がデジタル給与払いを行えるサービスを提供するには、厚生労働省の示す要件を満たし、厚生労働省から指定を受ける必要があります。万が一、指定された後に要件を満たさなくなった場合は、指定を取り消される可能性もあります。今のところ要件は7つ公開されていますが、追加・変更が今後発生することも予想されますので、指定を受けた資金移動業者は要件を満たすように継続して取り組む必要があります。

参考:厚生労働省が指定する要件

  • 破産等により資金移動業者の債務の履行が困難となったときに、労働者に対して負担する債務を速やかに労働者に保証する仕組みを有していること。
  • 口座残高上限額を100万円以下に設定又は100万円を超えた場合でも速やかに100万円以下にするための措置を講じていること。

    ※口座残高100万円超の場合に資金を滞留させない体制整備が資金決済法に基づき資金移動業者に求められていることや、①の資金保全スキームにおいて速やかに労働者に保証できる額は最大100万円と想定していることを踏まえ、破綻時にも口座残高が全額保証されることを担保するための要件。

  • 労働者に対して負担する債務について、当該労働者の意に反する不正な為替取引その他の当該労働者の責めに帰すことができない理由により当該労働者に損失が生じたときに、当該損失を補償する仕組みを有していること。
  • 最後に口座残高が変動した日から少なくとも10年は口座残高が有効であること。
  • 現金自動支払機(ATM)を利用すること等により口座への資金移動に係る額(1円単位)の受取ができ、かつ、少なくとも毎月1回は手数料を負担することなく受取ができること。また、口座への資金移動が1円単位でできること。
  • 賃金の支払に関する業務の実施状況及び財務状況を適時に厚生労働大臣に報告できる体制を有すること。
  • ①~⑥のほか、賃金の支払に関する業務を適正かつ確実に行うことができる技術的能力を有し、かつ、十分な社会的信用を有すること。

引用元:厚生労働省 資金移動業者の口座への賃金支払(賃金のデジタル払い)について 概要と経緯(https://www.mhlw.go.jp/content/11200000/001082146.pdf)

デジタル給与払い対応サービスにおける、サイバー金融犯罪リスク

現在、デジタル給与払い制度への対応を検討している主な資金移動業者は、スマートフォン決済アプリを提供する会社です。新制度を活用することで、電子マネー口座への入金の手間が減るなど利便性の向上が期待されます。

その一方で、新制度導入に便乗したサイバー金融犯罪が活発化する懸念もあります。サイバー金融犯罪とは、金融機関が提供するサービスの利用者が保有する資産を標的とする犯罪のことを指します。例えば、インターネットバンキングサービス利用者の口座から預金が奪われる不正送金のような犯罪が挙げられます。デジタル給与払い制度の施行により、これまでは入金など少額の取引が中心だったスマートフォン決済アプリが、より大きな金額を扱う可能性が大きくなることから、新制度に対応したスマートフォン決済アプリサービスの口座アカウントを乗っ取ろうとする犯罪が増加するのではないかと懸念しています。

狙われるデジタル給与払いに対応する口座アカウント

サービス利用者のアカウントが乗っ取られる被害は、金融機関や通信販売サイトなどが提供するサービスでたびたび発生しています。スマートフォン決済アプリにおいても、過去に不正利用被害が発生し報道されたこともありました。デジタル給与払いで利便性が向上することにより、スマートフォン決済アプリサービスへの関心は高まり、利用者はさらに増加するでしょう。支払い方法の中心となることで入金額が増加などの利用拡大も予想されます。そのような状況を、犯罪者は資金窃取の絶好の機会と捉え、利用者の資産を盗むために口座アカウントを乗っ取ろうとする犯罪が活発化する恐れが考えられます。

フィッシングやリスト型攻撃が用いられる可能性が高い、アカウントの乗っ取り手口

他人のアカウントを乗っ取るためには、ログイン時などで行われる認証を突破する必要があります。犯罪者は利用者になりすまして認証を突破するために、フィッシング詐欺やリスト型攻撃といった手法を中心に不正ログインを試みると考えられます。

アカウントに紐づく認証情報の詐取を狙ったフィッシング詐欺

正規のアカウントになりすましてログインするのに必要な認証情報や、個人情報などの詐取を狙ったフィッシング詐欺の増加が予想されます。これまでのように利用者に不安を煽る内容のEメールやSMSなどを送り、スマートフォン決済アプリサービスを装った偽サイトへ誘導して情報を窃取する手口は、今後も継続して用いられると考えられます。

フィッシング詐欺の手口例
フィッシング詐欺の手口例

過去に流出した認証情報を用いたログイン試行(リスト型攻撃など)

なりすましでのログインは、フィッシング詐欺だけでなくリスト型攻撃などでも行われると予想されます。リスト型攻撃とは、過去に何らかのサービスで流出したID/パスワードなどの認証情報を用いて、他のサービスに対してログインを試行する手口です。特に、同一のメールアドレスやパスワードなどの認証情報を複数のサービスでも使いまわしている場合は、なりすましログインによって被害が生じるリスクが高いといえるでしょう。現在でも、ECサイトなどではこの手口によるものと見られる被害がたびたび確認されています。

リスト型攻撃の手口例
リスト型攻撃の手口例

アカウントが乗っ取られた場合、不正決済や他口座への送金などで金銭が盗まれる

これまでにも、実際にアカウントを乗っ取る犯罪手口により、利用者の気づかない間に勝手に物品の購入や、他口座への送金等により、資産が盗まれる被害が起きています。これはスマートフォン決済アプリサービスでも同様で、入金した金銭で勝手に決済されてしまう場合や、他アカウントへ送金されてしまう場合などがあります。

将来的にスマートフォン決済アプリの機能が更に拡大し、様々なサービスと連携できるようになった場合には、他の資産を金銭に変えて送金されることなども考えられます。例えば、証券などの資産管理サービスとの連携を想定した場合、保有する有価証券を売却して勝手に金銭に変えられ、犯罪者に盗まれるといった被害が考えられます。

対応する資金移動業者は強固なセキュリティ対策が必要

デジタル給与払いに対応する資金移動業者は、アカウント乗っ取りなどが予想されるサイバー金融犯罪のリスク低減にあたり、十分なセキュリティ対策も含めて対応することが求められます。既に対応を公表しているスマートフォン決済アプリサービス提供事業者は、現在のセキュリティ対策を含め、更なる追加策を検討されている状況ではないでしょうか。

もしも十分なセキュリティ対策を講じなかったために被害が発生してしまった場合、サービス提供事業者は利用者への補償を行う必要がある上に、社会的な信用を失い、厚生労働省による指定を取り消されてしまう恐れもあります。また、利用者としても各サービスで用意されているセキュリティ対策を十分に活用して、自身を守るためのセキュリティ設定を実施しておくことも重要です。

さいごに

今回は、新しい給与払い制度「デジタル給与払い」と、その施行後に懸念されるサイバー金融犯罪リスクに焦点をあてて解説いたしました。私たちFC3では、今回ご紹介したようなサイバー金融犯罪の被害低減・撲滅に向け、金融機関や金融・決済サービス事業者、資金移動業者の皆様を中心にセキュリティ対策の高度化を支援しています。自社サービスの犯罪対策にお悩みの際は、ぜひお気軽にFC3へご相談ください。

「サイバー金融犯罪対策」に関するお問い合わせ

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 拡大を続けるフィッシング詐欺の脅威と、サービス提供者に求められる対策

  • サイバー犯罪者に狙われやすい、インターネットバンキングサービスの4つの脆弱ポイントとは?

  • キャッシュレス決済比率が初めて3割超え、スマホが金融端末化する裏で深刻化するセキュリティリスク