米連邦預金保険公社（FDIC）によると、米国の小規模企業をターゲットにしたコンピュータ犯罪による被害額は、2009年第3四半期だけで2,500万ドルに上るという。

　FDICで検査業務を行っているデビッド・ネルソン（David Nelson）氏が、3月5日に「RSA Conference 2010」で行った講演によると、電子送金に関連したオンライン・バンキング詐欺は2007年以降増え続けており、2009年第3四半期における企業全体の被害総額は1億2,000万ドルを突破したという。

　FDICは金融機関からさまざまな報告書を受け取っており、被害額の見積もりは、これらの報告書に基づいている。

　ネルソン氏によると、FDICに報告された事案は、ほとんどすべてオンライン・バンキング利用者のPCに入り込んだマルウェアに関係するものだという。典型的な例は、被害者がだまされて悪意のあるWebサイトを訪れたり、トロイの木馬プログラムをダウンロードしたりしてしまい、ハッカーにパスワードを盗まれるというもの。

　パスワードを入手したハッカーは、銀行が金融機関どうしの決済処理に利用している「Automated Clearing House（ACH）」システムを使って、被害者の口座から別の口座にお金を移し替えてしまうのだ。

　現在、銀行は複数の認証手法を利用するように顧客に強く促しているが、それでもハッカーにお金を盗まれるケースはあとを絶たない。ネルソン氏は、「オンライン・バンキング利用者のあいだでは、認証技術や管理実行レイヤーへの依存度が強まっている」と指摘する。

　しかし、企業が被害にあう可能性はますます高まっている。「事業用の預金口座は、個人向け口座とは異なり、被害にあっても補償を受けることができない。そのため、小規模企業や非営利団体の多くは、かなり大きな損失を出している。2009年第3四半期に、小規模企業がACHシステムやオンライン送金詐欺によって被った損害は2,500万ドルに達する」（ネルソン氏）

　また、被害者と銀行とのあいだで訴訟に発展するケースもある。この種の訴訟では、銀行が支払いを停止するべきだったと主張する被害者側と、被害者が自分のコンピュータを守るための対策を怠ったと主張する銀行側が対立することが多い。

　ネルソン氏によると、小規模企業ではACHシステムを利用した不正な支払いを防ぐための管理機能を導入していないところも少なからずあり、銀行が管理機能を提供しているにもかかわらず導入していない例もあるという。

　「ハッカーは、比較的残高が多く、管理も不十分な小規模企業の口座を狙う」（ネルソン氏）

　米国の調査会社Gartnerのアナリスト、アビバ・リタン（Avivah Litan）氏は、FDICが見積もった被害額が「合理的」なものであり、銀行や企業が被っている損害の大きさを強く印象づけるものであると指摘する。同氏によると、ボットネット・プログラムをインストールしてパスワードを盗み出すという攻撃は、最近増加傾向にあり、今後さらに被害が拡大する可能性が高いという。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)