2009年4月30日木曜日

緊急リリース(豚インフルエンザの最初の犠牲者はチフス・メアリーか)

「鳥インフルエンザ問題(bird flu)」から「豚インフルンザ問題(swine flu)に変わって1週間もたたない内にメキシコを中心に世界中にその死者が広がっている。
 未知のかつ極めて危険な伝染病の危機管理に関し、その兆候に鈍感であった初動調査のミスや情報開示の不徹底の問題が問われる例として、いずれ日本の新聞等でも記事になるであろう。なお、5月1日NHKの「クローズアップ現代」でこの情報を紹介している。
「英国インディペンデント紙」が引用しているAP通信の記事を紹介する。


 4月29日AP通信
 メキシコ南部観光都市のオアハカ(Oaxaca)の税務調査官(tax inspector)マリア・アデラ・グレティエス(Maria Gutierrez)39歳が病院外で死んだ。彼女の仕事は個別訪問が任務であり、メキシコの医療関係者の話のよると特定できないが少なくとも300人と接触している時に、彼女は最も伝染力の強い状態であったとされている。

 彼女は4月8日に地元の病院で豚インフルエンザ発病が認められ、その5日後に死亡した。彼女は糖尿病(diabetes)と激しい下痢(severe diarrhoea)によって悪化した急性呼吸障害(acute respiratory)で、数十人に感染したと信じられている。

 豚インフルエンザをメキシコの公的機関が特定する3週間前に彼女は死亡していたという今回の彼女に関する情報は、学校、官庁や多くの職場が非常警戒態勢の中から出てきた。2,000人以上が感染している状態でメキシコの豚インフルエンザの疑いのある死亡者数は4月28日夜の時点で152人に達している。米国では確認されたケースが64件、1ダース以上の感染者が出ているカルフォルニア州は健康緊急事態宣言を行っており、WHOは世界中で79例の確認事例を通知している。

 グレティエスの最後は、メキシコにおける混沌と秘密主義によるインフルエンザの大流行であるとして論争を呼ぶ可能性がある。彼女の治療にあたったオアハカの“Hospital Civil Aurelio Valdivieso”病院当局は、4月21日まで伝染病で死亡したことを十分確認せず、その時点でさらに1人の患者が死亡したのである。

 担当医は、当初グレティエスは肺炎(pneumonia)で苦しんでいると考えた。しかし、さらに16人の患者が重症呼吸器感染(severe respiratory infection)の兆候を示した時、緊急治療室の周りに隔離領域を設置した。その後まもなく同州の保健当局は彼女が最近時に接触したすべての人を捜し出し、健康診断を行い始めた。

 その極めて慎重な姿勢は、グレティエスが現代のチフス・メアリー(Typhoid Mary) (筆者注1)であったかも知れないということを示唆した。当局が捜し出した300人には、彼女は3月下旬から4月前半に家庭等を訪問し面談した人々が含まれていたのである。地元筋の情報では死者はいないが、33人から61人の面談相手はインフルエンザに似た病気の「兆候」を示していたと米国医療危機管理会社(Veratect)に述べていた。(筆者注2)

 オアハカはオアハカ州の歴史的な首都でメキシコの南太平洋岸の山岳地帯に位置する。この地理は豚インフルエンザの猛威に関し重要な点である。エドガー・フェルナンデス少年(4月2日に感染したがその後完全に回復 )は4月27日に患者ゼロ宣言を続けてきたメキシコ保健相ホセ・アンジェロ・コルドバ(Mexico’s Health Secretary Jose Angel Cordova)が公式に患者を認めた第1号である。少年はベラクルス地方のラ・グロリア(La Gloria)の小さな町に住んでおり、今回の爆発的広がりの潜在的源とされる広大な養豚場の5マイル風下に住んでいた。この農場は米国の農業会社であるスミス・フィールド(Smithfield Foods)が所有しており、メキシコの同子会社では1年間に100頭以上の子豚が生まれている(筆者注3)

 2009年2月に何十人も地元住民が奇妙なインフルエンザに似た病気にかかり始めた。2009年4月6日にラ・グロリア市(人口3,000人)は「警戒宣言」を発し400人が治療を要し1,800人が呼吸困難を示していた。保健所員は町を封鎖したが家の中を飛ぶ巨大な数のハエの撲滅を開始した。しかしながら、彼らはこの大発生が豚インフルエンザとは認識しておらず、町に集まった報道陣は結論を急がないよう促された。

 しかし、地元住民はそのことを信じていなかった。ホセ・ルイス・マルチネス(ラ・グロリアに住む34歳)は4月25日にレポーターに対し、高熱(fever)、咳(coughing)、関節痛(joint aches)、激しい頭痛(severe headache)、嘔吐(vomiting)や下痢(dirrhoea)が症状として出ると言うテレビを見てすぐに自分の周りの人々の症状であると理解したと述べている。

 4月25日首都であるメキシコシティに非常警戒宣言が出された。大規模集会が禁止され人々は公然とマスクをつけレストランはテイクアウトのみでバーは午後6時には閉めるという状況である。豚インフルエンザの猛威は、4月のはじめの2週間で首都に到着すると見られていた。メキシコの聖週間(Semana Santa:Holy Week)では全国から首都に100万人が集まる時期であったからである。

(筆者注1) チフス・メアリーの本名は、メアリー・マローン(Mary Mallon)である。Wikipediaほかによると「世界で初めて臨床報告されたチフス菌(Salmonella enterica serovar Typhi)の健康保菌者(発病はしないが病原体に感染していて感染源となる人)。ニューヨークに移住したアイルランド系移民のシェフで、1900年代初頭にニューヨーク市周辺で散発した腸チフス(Typhoid fever)の原因になり、53人に感染させうち3人が死亡、彼女自身1938年に死亡、「腸チフスのメアリー」あるいは「チフスのメリー(Typhoid Mary、タイフォイド・メアリー))という通称で知られる。」

(筆者注2)Veractect社のCEOの説明によると、今回の豚インフルエンザ問題で世界的伝染病予防危機管理機関である「米国疾病予防管理センター(Centers for Disease Control and Prevention:CDC)」に対し、2009年3月末にメキシコでのインフルエンザの流行の兆候を初めて行っており、またコロラド州、ネバダ州、ワシントン州の厚生関係機関にこの情報を提供していた。同者の特徴は人工知能や多言語アナリストの世界的ネットワークを駆使して24時間365日体制で疾病の追跡情報をカークランドとアーリントンの運用センター(30人体制)で監視を行っている。同CEOの説明では世界中のブログを見たり情報提供を行いながら迅速な情報収集を行っているとのことである。

(筆者注3)この関係について、わが国のブログがメキシコの人権擁護グループ“LA VOZ DE AZTLAN”の報告を紹介している。
「豚フルー感染爆発の“グラウンド・ゼロ”は米国畜産大手スミスフィールド・フーズの子会社グランハス・キャロルで、昨年末から感染が始まっていたことが判明。
《ラ・ボス・デ・アストラン》はメキシコの非抑圧状況を鋭く分析する情報サイトとして定評があるが、今回のレポートによると、米国系大手畜産企業の子会社が、メキシコシティから100マイルほど離れた場所で運営している養豚場が、豚フルー感染爆発の“発生源”とのこと。この養豚場は衛生管理がズサンで、屎尿の沼ができており、大量のウイルス媒介昆虫が“涌いていた”という。すでに昨年12月には感染が始まっており、今や周辺住民の6割が感染症状を呈しているという。だが養豚企業側がワイロを使ってこのスキャンダルの露呈を阻止しており、地元ベラクルス州当局が、この問題を暴露した村民を「虚偽風説流布」の罪状で逮捕するという状況になっているという。
このレポートの内容が事実なら、米国とメキシコからの豚肉は感染リスクが高いので、輸入禁止措置も検討されるべきであろう。」
http://www.asyura2.com/09/buta01/msg/146.html

〔参照URL〕
http://www.independent.co.uk/life-style/health-and-wellbeing/health-news/swine-flu-was-first-victim-a-modern-typhoid-mary-1675807.html

Copyright (c)2006-2009 福田平冶  All Rights Reserved.

2009年4月17日金曜日

米国IC3やFinCEN等によるインターネット犯罪や不動産担保ローン詐欺の最新動向報告



 わが国を含め、コンピュータ犯罪の情報収集の中心的機能を担っている米国インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3(筆者注1)が、米国における2008年版調査結果”2008 Internet Crime Report”を発表した。

 IC3が公表した最新コンピュータ犯罪報告の2007年版については、KDDI総研の藤崎太郎氏が詳細に報告しており(筆者注2)、2008年報告も共通的な項目分析が行われていることから、本ブログでは2008年版における特徴点を中心に述べることとする。

 また、本ブログでも過去に紹介してきた米国のマネーローンダリングの取締機関である連邦財務省金融犯罪法執行ネットワーク(Financial Crime Enforcement Network:FinCEN)は金融機関に対する不動産担保ローン詐欺(Mortgage Fraud Report)に関する第4次報告を行っている。
 Mortgage Fraudについて、サブプライムローンの損失や差押(foreclosure)拡大と時期を会わせ2006年からFinCENによる報告が行われており、第4次ということからその傾向を追いながら解説を試みる。

 いずれにしても「振り込め詐欺」やマネーローンダリングの例に見るとおり、筆者が従来から追い求めている「進化し続ける詐欺社会」から庶民を守るには、あらゆるメディアを活用した「迅速な警告体制」と被害予防のための情報提供であろう。その意味で、法執行機関である警察庁サイバー犯罪対策プロジェクトの最新予防策のための“Cyber Warning” による最新の警告が、2006年7月ということはサイバー犯罪の範囲をIT技術を駆使した犯罪面だけに狭く解しすぎているのではないか。(筆者注3)

 一方、米国では、例えば前記「 2008 Internet Crime Report」付属資料2(Appendix-2)において犯罪阻止のための犯罪類型別留意事項と具体的な相談・苦情届出先(Best Practice to Prevent Internet Crime)をまとめている。きわめて簡単な内容ながら一般消費者向けの効果的な情報提供例といえる。(筆者注4)

実際、連邦司法省やFBIサイトを見ていると1週間に1~2回は詐欺裁判の有罪判決のリリースが出てくる。こんなに詐欺が多いのかと感心しているわけにはいかない。改めて本ブログでも詐欺特集が必要になるであろう。

 他方、先般本ブログで紹介したオーストラリアのSCAMwatchも詐欺の範疇を広くとらえたうえで詐欺手口の解説を行っており、消費者にとっては極めて有益と考える。

 さらに、わが国では一般的に知られていないが、2002年に国土安全保障省(DHS)の一部門(筆者注5)となったU.S.シークレット・サービス(United States Secret Service:USSS)(筆者注6)は優先的重要任務として、金融システム基盤と決済システムの保護を上げ、そのためコンピュータ犯罪やインターネット詐欺等に対する捜査、逮捕や予防対策への責任を担っており、他に機関では見られない独自の専門家による捜査機能・活動について今回のブログで概要を紹介する。


1.IC3「 2008 年Internet Crime Report」の特徴点
(1)犯罪類型別苦情件数・被害額割合・1件あたり被害額(中央値)
①商品未送や代金未払い詐欺(Non-delivered merchandise and /or payment):苦情件数は全体の31.9%と最も多く、被害額の割合で見ると28.6%、1件あたり被害額は800ドル(約7,800円)である。
②オークション詐欺(Auction fraud):苦情件数割合は25.5%、被害額の割合は16.3%、1件あたり被害額は610ドル(約6万円)である。
③クレジット・デビットカード詐欺:同9.0%、同4.7%、同223ドル(約22,000円)である。
④その他信用詐欺(Confidence fraud:相手を信用させて財産的被害をもたらすもの、前記①、②やナイジェリアン手紙詐欺もこの類型に属す)、コンピュータ詐欺、小切手詐欺(check fraud:小切手の偽造・変造や残高不足を知りながら振り出すもの)、ナイジェリアン手紙詐欺が件数割合として上位7類型となった。(筆者注7)

(2)被害額の多いもので見ると、小切手詐欺(3,000ドル)、信用詐欺(2,000ドル)、ナイジェリアン手紙詐欺(1,650ドル)である。

(3)加害者(perpetrators)の居住地域的特徴で見ると、比較的人口が多い次の州が多く、2007年の調査結果と同様の傾向を示している。()内は2007年の順位。
①カリフォルニア(1)
②ニューヨーク(3)
③フロリダ(2)
④テキサス(4)
⑤ワシントンD.C.(上位10位に」はいっていない)
 なお、米国以外の国でみると英国、ナイジェリア、カナダ、中国、南アフリカが多い。

(4)詐欺による被害者への接触ルートは、Eメール(74.0%)、ウェブサイト(28.0%)が上位2つを占める。

2.米国FinCENの「不動産担保ローン詐欺(Mortgage Fraud Report)に関する第4次報告」
(1)過去4回のFinCENによる不動産担保ローンに関する詐欺報告の公表年月は、次のとおりである。
・第1次2006年11月:FinCEN Mortgage Loan Fraud Assessnent
・第2次2008年4月:Mortgage Loan Fraud:An Update of Trends based Upon an Analysis of Suspicious Activity Reports
・第3次2009年2月:Filing Trends in Mortgage Loan Fraud
・第4次2009年3月:Mortgage Loan Fraud Connection with Other Financial Crime

(2) 2009年3月Mortgage Loan Fraud Connection with Other Financial Crime調査報告の概要
A.そもそも“Mortgage Loan Fraud”とはいかなる手口の詐欺であろうか。筆者はFBIやFinCENの2006年以降の不動産担保ローン詐欺(Mortgage Fraud)年次報告等を参考に調べてみた。2つのカテゴリーがある。 すなわち、(1)詐欺的行為による不動産資産や家の取得を目的とするもの(ローンの申込購入者(applicant)が、買った物件に実際に居住する場合が実住、実需案件(primary residence)であるが、applicant本人が不動産購入ローンについて収入や負債額等細かな点でごまかすものである。もともと返済するつもりで、たまたまごまかしを行うものである)、(2)第2のカテゴリーが法執行機関や不動産業界が最も懸念している詐欺行為である。すなわち、不動産査定評価とローン申込文書の全体としての不実記載詐欺は、関係者の違法な利益を生むだけでなく、申込者は頻繁に詐欺師に金銭の支払等を行うというリスクや経済的負担を負うことになる (筆者注8)
 この詐欺スキームの例示(違法な不動産転売スキーム:Illegal Property Flipping Scheme)がFBIサイトの図1で紹介されており、参考までに記しておく。(筆者注9)。(筆者注10)
①不動産転売業者(property flipper)は中古の家を2万ドルで購入する。
②property flipperは同物件を意図的に高くして8万ドルと査定する。
③property flipperは共犯の不動産の売り手兼ローンを仕組む役(straw buyer)に査定価格の80%の64,000ドルで売却(property flipperは64,000-20,000=44,000ドルの利益を得る)
④当該家は返済不能により一般的に差押(foreclosure)にあい、銀行には64,000ドルのローン債権が残るが、もともと2万ドルの家であり44,000ドルの損失である。さらに当該ローンが連邦住宅局の保証付住宅ローン(FHA-insured Loan:連邦住宅局の認可した金融機関のみで取り扱われる ローン。連邦住宅局は貸付額に対して抵当権設定者(債務者)から保険料を徴収し、債務不履行があった場合、抵当権者(金融機関)を保護する)であった場合は、FHAの損失負担となる。(2009年4月2日に司法省はカリフォルニア州ヘスペリアの不動産担保ローン会社“Mortgage One”の元社長(John Richard Varner 55歳)が連邦住宅都市開発省(United States Department of Housing and Urban Development:HUD)および民間銀行を騙して不動産融資を受けたとして、①HUD(実際はその1機関である連邦住宅局(Federal Housing Administration))を騙して不正な保証を受けた罪、②銀行詐欺および③偽の所得税申告(false tax returns)の計4訴因に基づき起訴され、同日連邦地方裁判所の有罪判決が下された旨公表している。最高41年の禁錮刑が科されるが、本件はHUD保証にかかわる第15番目の有罪判決例となる。)
 同詐欺の被害者は、融資者たる金融機関、不動産業界だけでなく、近隣住民も価格高騰による固定資産税の増加に悩まされるのである。

B.2008年財政年度における不動産担保ローン詐欺の傾向の要旨
 今回の報告は、不動産担保ローンに関する疑わしい取引(MLF subjects)に関する預金取扱金融機関の当局宛報告(Suspicious Activity Reports in Depository Institution:SARs-DIs)の検証と次の3つのタイプの詐欺報告をまとめた。(1)マネー・サービス・ビジネス(Money Services Businesses:わが国ではまだ定訳がない。FinCENの資料によると連邦規則集第31編第パート13サブパート103.11(uu) に定義されている )(筆者注11) とは、両替商や送金業、旅行小切手・為替・プリペイドカードの発行、販売、換金業務等がこれに該当する。米国では、個人経営のごく小規模な雑貨店、酒小売店でも為替サービスの取扱いがしばしばみられ、こうした個人事業者から大規模企業まで、多様な規模、業態の事業体がSAR-MSBsのカテゴリーを構成する。(2)証券ブローカー(securities Brokers)、証券ディーラー(securities dealers)または保険会社(insurance companies)(SAR-SFs)、(3)カジノまたはカードクラブ(card club:会員制クラブ)(SAR-Cs)である。
 2003年から2008年にわたる5年間の報告を分析した結果、次のような傾向が見られた。
(1)預金取扱機関から約156,000件の不動産担保ローンに関する疑わしい取引のSARs-DIsを確認したが、そのうち他のSARタイプの3,680件の報告が含まれていた。これはマネロンなどに関する通貨取引報告申告(currency transaction reporting requirements)を再検査した結果、不動産担保ローンに関する疑わしい取引に該当するものがSAR-MSBsでは85%、SAR-Cs では47%、SAR-SFsでは47%という数字になっていたからである。

(2)分析結果で SAR-MSBsは疑わしい取引の約70%が電子送金(wire transfer)によるものとして報告し、それらの申告の34%が米国外への送金として記述されていた。

(3) FinCENはSAR-SFsについて、異常に高い割合の疑わしい文書、詐欺的IDや偽IDの存在を確認した。

(4) SAR-Csの不動産担保ローンに係る疑わしい取引報告における小切手詐欺の割合は17%と、SAR-Csの同5年間平均が3%であったのと比べ異常に高かった。
 2009年度FinCENは、不動産担保ローンおよび他の金融詐欺の関係について追加分析を行い、報告された違法な活動、場所および主体者についてさらなる調査研究を行う。

3.米国U.S.シークレット・サービスの金融犯罪、コンピュータ犯罪捜査の概要
(1)シークレット・サービス(USSS)の捜査権および逮捕権の法的根拠
 合衆国法典第18編第2部第203章第3056条(U.S.Code: title 18 part Ⅱchapter 203 §3056)である。同法に基づく USSSの権限・機能の2本柱の1つが政府の要人警護であり(同条(a)項)、もう1つが全米的な金融基盤(financial infrastructure)と支払システムの維持と完全性(同条(b)項)の責任を負っている。特に金融機関や金融犯罪捜査を専門に担当する金融犯罪部(Financial Crimes Division)は、前述したとおりFBI、DOJやFinCEN等とともに重要な機能を担っているといえる。

(2)金融犯罪部のサイトの内容
 USSSは、1982年および1984年にクレジットカードやデビットカードなどアクセス・デバイスに関する捜査権と他のID犯罪に関しても他の捜査機関と並行した捜査権限が与えられ、また匿名性の高いインターネット利用の拡大とともにコンピュータ犯罪に関する詐欺の捜査権も与えられた。2001年10月26日、ブッシュ大統領が愛国者法(USA PATRIOT Act:H.R.3162)に署名し成立したことを受けて、USSSは全米規模の電子犯罪特別対策本部および作業グループ(Electronic Crime Task Forces and Working Groups)の設置が義務付けられ、当初8主要都市であったが、その後拡大し、2007年以降現在の24都市に特別対策本部が設置されている。
 USSSの金融犯罪部のサイトから金融犯罪に関していかに関与が拡大しているか、USSSの使命に関する主たる記載内容について解説する。なお、各詐欺類型の詳細は前述の藤崎論文を参照されたい。

①銀行等金融機関に対する詐欺(Bank Fraud)

②アクセス・デバイス詐欺(Access Device Fraud):金融業界の推定では、毎年クレジットカード等の詐欺被害額は数十億ドル(数千億円)に達する。USSSは合衆国法典18編1029条(アクセス・デバイスに関する詐欺および関連行為の取締法:一般的に「クレジットカード法」といわれている)に基づき連邦機関の中で優先的捜査権を有している。
 アクセス・デバイスとは、デビットカード、キャシュカード、コンピュータ用パスワード、個人識別番号、クレジットカードやデビットカードの口座番号、Long-Distance Access Code (LDAC)(筆者注12)、SIM(Subscriber Identity Module :GSMやW-CDMAなどの方式の携帯電話で使われている請求時などに電話番号を特定するための固有のID番号)である。USSSは1996財政年度のおいて同詐欺に関し2,467件の捜査を開始、一方2,963件の捜査を終了し、2,429人を逮捕した。

③コンピュータ詐欺(Computer Fraud): 無権限アクセス、なりすまし詐欺、DoS攻撃、電子商取引の強要(extortion)や途絶(disruption)、金銭的な利益を目的とする違法なソフトウェアの介在等の取締法である「コンピュー詐欺及び不正利用防止法(the Computer Fraud and Abuse Act(CFAA)18 U.S.C.§1030)」に基づき、USSSは特にインターネットの拡大による州や国境を越えたサイバー犯罪、コンピュータ詐欺の捜査体制強化のため米国中に電子犯罪専門捜査官プログラム(Electronic Crime Special Agent Program:ECSAP)を設立した。ここに任命された捜査官はコンピュータ関連捜査の専門家であり、コンピュータ、携帯情報端末(personal data assistants:PDA)、通信機器(telecommunications devices)、電子手帳(electronic organizers)、その他のメディアに関する多くの電子証拠の検査行動の適格者である。ECSAPは全米中に分布する重要基盤を守る利害関係者とともに横断的パートナーシップを構築する唯一のプログラムである。

④偽造詐欺(Forgery):毎年、数億枚の政府小切手や政府証券が発行される中、この莫大な枚数は、犯罪者をして被害者の住むアパートや自宅の郵便ボックスから小切手等の盗取やその偽造行為に導く。詐欺的取引において通常受取人の署名や偽の身分証明者を提示する。

⑤マネー・ローンダリング:米国法典第18編第1961条(不正な金儲け、ゆすりでいわゆる組織犯罪)の定義規定であるが、金融機関改革救済執行法(Financial Institutions Reform, Recovery, and Enforcement Act of 1989)第968条により金融機関詐欺もその対象となった) と同様、18編第1956条および同1957条に定める特定の犯罪行為である。

⑥電子政府栄養支援給付詐欺(Electrocic Benefits Transfer Fraud):従来のフードスタンプ制度は、政府が生活保護者等低所得の家族に発行する食品割引券、食料配給券で1977年配給法(the Food Stamp Act of 1977 (7 U.S.C. 2011 et seq.)に基づく生活支援プログラムであった。(筆者注13)2008年10月1日施行された補完的栄養プログラム(Supplemental Nutrition Assistance Program:SNAP)において一定の受給適格者は自宅にいながらにして適格性の確認オンラインでの登録、電子認証に基づく加盟小売店での一定の食料品の購入というプロセスが利用できる。しかし、そこになりすまし詐欺が入り込む危険性があったのである。SNAPサイトでは加盟店向けに電子援助(Electronic Benefits Transfer System(EBTS)に関し詐欺被害の警告を鳴らしている。

⑦費用前払い詐欺(Advance Fee Fraud:ナイジェリアン詐欺);
スパムメールで届くこの種のメールには絶対に返事をしないことである。一回返事をすると詐欺師はあなたをいじめたり威圧し始めるのである。最も効果的な手立てはすぐ当該メールを削除することである。仮に前払いにより高額な金銭的損失を被ったときはUSSSの専用デレクトリー(Field Office Directory)にメールを送ることである。

(筆者注1)わが国でIC3に該当する公的機関は、警察庁サイバー犯罪対策プロジェクトおよび都道府県警察本部のサイバー犯罪相談窓口等のみであろうか。

(筆者注2)藤崎氏のレポートは、丁寧かつ原資料に忠実に解説されていると思う。ただし1か所気になったのは13頁のコンピュータ詐欺(Computer Fraud)の定義に関し「米国会計検査院」と引用されている。原語はGAO(U.S. Government Accountability Office)であるが、わが国では確かに「会計検査院」と訳されるのが一般的であり、筆者もかつてはそのように訳していた。しかし、連邦議会に対する権能や権限等について再度見直し、2007年9月の本ブログ以降は「連邦議会行政監査局」という訳語を使用している。

(筆者注3)IC3の報告書の要旨を読むと、コンピュータ犯罪にかかわりそうなあらゆる苦情をまず連邦、州、地方の関係機関が広く収集し、その中から関連重要犯罪を絞り込んでゆく分析過程が浮かび上がる。2008年1月1日から同年12月31日の間にIC3が受け付けた苦情275,284件(前年比33.1%増)の中には非詐欺にあたるスパムメールやチャイルド・ポルノ等も含まれている。

(筆者注4)わが国の関係省庁や機関がサイバー犯罪とくに「ボット(コンピュータを悪用することを目的に作られた悪性プログラムで、コンピュータに感染すると、インターネットを通じて悪意を持った攻撃者が、コンピュータを外部から遠隔操作する)」に対処するため共同運運営体制をとった例として、2006年12月1日に経済産業省と総務省が20010年3月31日までの期間限定で設置したサイバークリーンセンター運営委員会(CCC-SC)による「サイバークリーンセンター」があげられる。総務省や経済産業省を中心にISPの協力をえながらボット駆除や再感染防止の中心プロジェクトと担うとしている。ウェブサイトの説明も一般的に分かりやすく工夫の跡が伺える。
 しかし、一方でサイバー犯罪の範囲の拡大はとどまるところを知らない。海外の動向を見ても、米国がインターネットにかかわる苦情情報を情報源としながら、連邦捜査局(FBI)を中心として全米ホワイトカラー犯罪センター(NW3C)、主要民間企業、学術研究機関の協力のもとで極めて専門性の高い専門家集団を集めたサイバー犯罪捜査専門部門(全米サイバーフォレンジックス&教育連盟(National Cyber-Forensics & Training Alliance)や苦情収集に特化したIC3等)を構成して、最終的に連邦司法省や法執行機関を支援し、常に変化するサイバー犯罪の定義に苦慮しながらも可能な範囲でIT社会の脆弱性に取組んでいる姿を見ると、わが国のような限定型の取組みで十分なのか疑問に思える。

(筆者注5)2002年第107連邦議会を通過し成立した“Homeland Security Act of 2002”(Public Law 107-296)に基づき国土安全保障省(DHS)が設置され、同時にUSSSが財務省からDHSに移管された。このことはDHSの組織図やUSSSの歴史説明で明記されている。

(筆者注6)本ブログでしばしば紹介するとおり、米国の公的機関の法的根拠や重要任務に関するわが国の解説は、最新の法律情報等を確認していないものや不正確な内容のものが目につく。例えば、いまだにUSSSを「財務省検察局」(情報処理推進機構(IPA)の2004年8月「電力重要インフラ防護演習に関する調査 報告書」16ページ等)と訳している例が多く(わが国で一般的に利用されている翻訳サイト“Excite”や“ALC”も同様の訳語を使用している)、また「財務省秘密検察局」と言うものもある。昔のテレビの見すぎか。ビジネス用語だけでなく政治組織に関する訳語の正確性は重要であり、迅速に見直すべきであろう。
 “Secret Service”の基本的組織構成は3部門からなり、要人(大統領、副大統領、次期大統領、次期副大統領、これらの家族、元大統領およびその配偶者(再婚した場合を除く)、16歳までの大統領の子供、米国訪問中の外国政府の代表者や配偶者等である)の警備に当る特別捜査官(Special Agent:約3,500人)、対狙撃支援部(Countersniper Support Unit)、犬を使った爆発物探知部隊(Canine Explosives Detection Unit)、緊急対策部隊、金属探知支援部隊(Magnetometers)からなる制服部隊(Uniformed Division:約1,300人)、および法科学・法廷証拠(forensic)専門科学者、心理学者、法執行に関する教官、人事専門家、予算アナリスト、火器に関する教官、会計士、研究者、物理的セキュリティやコンピュータの専門家、グラフィックデザイナー、作家や弁護士を含む個人的支援高度専門家グループ(Support Personnel:約2,000人)からなる。
 なお、USSSは2008年から5年間の戦略計画“United States Secret Service Strategic Plan-FY2008-FY2013”を公表している。写真入りで分かりやすく説明されている。関係者や興味のある方は是非読まれたい。

(筆者注7)IC3の2007年報告にあって2008年版にないものに「投資詐欺(Investment Fraud)」がある(付属資料2の「詐欺にあわないための留意事項」では盛り込まれているが)。犯罪統計の連続性や被害規模からいっても無視し得ない重大犯罪であると考えるが、IC3に確認する時間的余裕がないので機会を改める。ただし、2009年3月31日にフロリダ連邦地方裁判所は投資詐欺(Ponzi aschemeの由来についてはWikipedia参照)の犯人であるマニュー・オガル(44歳)に対し禁錮10年に加え、損害賠償金12,744.349.50ドル(約12億4,900万円)および3年の監視付き釈放(supervised release)判決を下している。

(筆者注8)このような説明を読むにつけ、米国の不動産ビジネスの専門性や多様性が感じられる一方で、わが国の現状の不動産会社におまかせの不動産販売の仕組みそのものが、はたして購入者の保護や情報提供と言う点で十分なのか、融資を行う金融機関の立場からも別途考える必要があろう。

(筆者注9)不動産転売をめぐるこのような手口は、わが国でもごく一般的である。ただし、米国の場合がもう少し手が込んでいる。FBIの報告書を補完する意味で、対米不動産投資コンサルタントの中山道子氏のブログから買手が絡む不動産融資詐欺の手口の要旨を紹介する(筆者が一部加筆した)。「不動産の買主が、ローン・オフィサー(一般の商業銀行等で住宅ローンの相談、仲介などを行う専門家)やアプレイザー(appraiser:物件の査定業者)などと組んで、購入物件の査定額を吊り上げ、銀行から不当に高い融資額を引き出すのである。被害者は、一般投資家ではなく銀行である。ローン・オフィサーやインスペクター(inspector:物件の状態・修繕必要箇所などを鑑定する検査業者)(筆者注9)と並んで、不動産投資の際のパートナーとなるのがこのアプレイザーで、(1)市場価格(今、売りに出したら、最高いくら取れるか)、(2)再建築価格(今、この建物がだめになって土地だけになったら、いくらあれば、同じ間取りとパーツが再現できるか)、(3)収益還元法的価格(今、賃貸に出すとしたら家賃収入がいくらであるかを計算し、これくらいの資産価値がある、と判断する方法。州や地方によって方程式が違う)そうした詐害行為を働く買主は、大金をつかんだ後は、「ローンの支払いは放棄、物件も放置」というのが多数だそうである。」

(筆者注10) インスペクターの検査の対象箇所について、カリフォルニア州不動産インスペクター協会(California Real Estate Inspection Association:CREIA)が定める検査実施基準(CREIA Standard of Practice)を見ておく。①基礎、地下室、床下領域、②屋外部(ドア、窓、外壁等)、③屋根周り、④屋根裏部分(Attic Areas)や屋根の枠組み(Roof Framing)、⑤配管系統(Plumbing)、⑥電気工事部、⑦暖房や冷房機能、⑧暖炉や煙突、⑨内装である。詳しくはCREIAサイトで確認されたい。

(筆者注11) 税務大学校研究部 岡﨑正江氏「 米国内国歳入庁におけるマネー・ローンダリングへの取組」から引用したが「マネー・ローンダリング」関係者に対し、ここで連邦規則集(CFR)の定義(31 CFR 103.11(uu))を正確に説明しておく。これは、マネー・ローンダリングとインターネット賭博とは切っても切れない関係にあるからである。2008年1月6日の本ブログを読んで欲しい。
なお、「マネー・サービス・ビジネス」には、銀行および証券取引委員会(SEC)および商品先物取引委員会(Commodity Futures Trading Commission:CFTC)に登録、規制、監督を受ける業者は除かれる旨明記されている。
①通貨ディーラー(currency dealer)または両替商(exchanger):1日あたり1以上の取引において1,000ドル以上の金額の両替等を行わない場合は適用除外となる。
②小切手換金業(Check Casher): 1日あたり1以上の取引において1,000ドル以上の金額の換金を行わない場合は適用除外となる。
③トラベラーズチェック、国際為替(Money Order)およびプリペイド式通貨(プリペイドカード等)の発行者:1日あたり1以上の取引において1,000ドル以上の金額の小切手や送金を行わない場合は適用除外となる。
④トラベラーズチェック、国際為替(Money Order)およびプリペイド式通貨の売り手または買い手(redeemer):1日あたり1以上の取引において1,000ドル以上の金額のトラベラーズチェック等を扱わない場合は適用除外となる。
⑤為替業務取扱業者(money transmitter):金融機関、または連邦準備銀行や連邦準備制度理事会(双方を含む)の機関として、電子資金移動ネットワークを通じて通貨や通貨建て(funds denominated currency)の資金を免許に基づき、その受入れおよび送金を業として取扱うものをいう。

(筆者注12)“LDAC”とは、米国の大学の教授会メンバーや事務局員が、大学から承認を得た上で一般的に利用できる国内、国際の長距離電話利用サービスにアクセスする場合の個人識別コードである。各大学のサイトではそのコードを含め、利用申込方法や利用方法について説明いる。例えばアラスカ・アンカレッジ大学のサイトを見ると長距離電話サービスとして「アクセスコード方式」と「アクセスカード方式」の2方法を用意している。なお、筆者が疑問に思ったのはコード管理の厳格さについて警告を鳴らしている大学が見あたらなかった点である。

(筆者注13)米国の低所得者家族向け補助栄養支援制度に関してわが国では詳しく説明しているものは見たことがない。本プログラムは農務省の所管する食料・栄養サービスの一環として1977年配給法の基づく制度で、前述の通り従来は「食料配給券(Food Coupon)」といってまさに紙の券であった。2008年食料・保全・エネルギー法(Food, Conservation and Energy Act of 2008:H.R.2419)(わが国では「2008年農業法」と説明している例が多いのは同法の内容のミスリードを招く点からもこのような訳語は問題である。)により同プログラムの名称を「補完的栄養プログラム(Supplemental Nutrition Assistance Program:SNAP)」に改称した(2009年6月17日以降は紙のクーポンは無効になる)。では、なぜこれが電子詐欺と関係するのか。農務省のSNAPサイトに基づき手順に即して解説する。なお、わが国では電子政府サービスであるSNAPに該当する制度はない。あるとすれば自治体が窓口で行っている「生活保護制度」に基づく生活扶助額の中でまかなうしかないであろう。
(1)まず同援助プログラムの適格者かどうかFNSサイトでオンラインにより居住州、家族構成等個別に入力しながら確認する。
(2)利用のためのオンライン購入用に電子認証(Eauthentication)アカウントの開設手続を行う。(アクセスには2種類あり、限定されたセキュリティの「アクセス1」とインターネットを通じたより一般的な電子商取引が行える「アクセス2」がある)
(3)登録時に姓名や住所やパスワードの入力し、約15分後に本人のメールアドレス宛に新設アカウントの有効化手続の説明メールが届く。以降は通常のサイン・インを行う。


〔参照URL〕
http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf
http://www.fincen.gov/news_room/rp/files/mortgage_fraud.pdf

Copyright (c)2006-2009 福田平冶 All Rights Reserved.

2009年4月12日日曜日

2004年秋の三井住友銀行ロンドン支店のハッカー詐欺裁判の有罪判決と米国キーロガー裁判の動向について

 
 2009年3月7日付の朝日新聞は、2004年に英国の三井住友銀行(英語名:Sumitomo Mitsui Bank)ロンドン支店を舞台として犯行が行われ、未遂に終わったハッカー犯罪の判決公判が3月5日に開かれ、主犯に禁錮8年、共犯4人に3年から4年4か月の実刑判決が言い渡された旨報じている。

 2004年9月から10月にかけて実行行為が行われ、当時2.29億ポンド(約318億3千万円)の詐欺未遂事件として話題になったが、今回の同紙の記事だけ読んでもこのような高額な詐欺事件がどのような手口で行われ、また内部要員や関係者が絡んだ事件だけに本当に金融システムの安全対策はとられているのかといった点が明確にされない限り、同様の犯罪が今度は成功するかもしれない。

 筆者は英国のBBC、GuardianおよびIT専門サイト等の情報に基づき、これらの問題点を独自に分析してみた。その結果、明らかになった点は、世界的に見て専門的なIT技術を持った国際的金融犯罪組織の存在とその手口の巧妙さである。それらの点をわが国の犯罪捜査機関だけでなく金融機関のセキュリティ担当者や担当役員が理解していないと金融機関の安全神話は広く世間から支持されないであろう。

 もう一点は、今回問題となったキーロガー専用端末や同ソフトウェアの販売をめぐるニュー・ビジネスと人権侵害問題である。本ブログでも紹介している米国の人権擁護NPO団体であるElectronic Privacy Information Center(EPIC)は、「個人向け監視技術(Personal Surveillance Technologies)」と題する問題提起に基づき2008年11月に連邦地方裁判所の緊急差止命令(Temporary Restraining Order)や仮差止命令Preliminary Injunctive Order)が発布されており、この問題も併せ論じる。 (筆者注1)(筆者注2)(筆者注3)


1.事件の経緯の概要
(1)2004年9月16日夕方の早い時間に2人のベルギー男性(Jan Van Osselaer(32歳)とGilles Poelvoorde(35歳))が三井住友銀行ロンドン支店の受付に到着し、その1人が警備主任のケヴィン・オドナヒュー(Kevin O’Donoghue(34歳))に面会を求めて来た。受付の女性はこの2人が専門のハッカーであり、歴史的犯罪の第一段階を実行しに来たことはつゆ知らなかった。

 (2)同支店の監視カメラ(CCTV)は、この2人が談笑しながら同支店のオペレーションルームの端末に導いたことを記録していた。彼らは数台のワークステーションに持参したUSBメモリー・スティックを使い「キーロガー」ソフトウエアをインストール後、帰っていった。(記事はメモリー・ステック型と記述しているため忠実に紹介した。これと異なる手法としてはキーロガー・デバイスをキーボードとPCのコネクターの間に挿入するハードウェア型という方法もある。今回の犯人はソフトウェア型であり同デバイスは使用しなかったようである)

(3)数日後、再度同支店を訪れた2人はキーロガー・プログラムデータから銀行の行員のユーザー名とパスワードをダウンロードして帰っていった。

(4)しかし、ケヴィン・オドナヒューはいくつかのミスを犯した。1点目は仲間の犯行記録を残さないためCCTVの回線を一部切断したこと、2点目は特別なオペレーションルームへの特別なアクセス・バッジの発行について質問したことについて他の従業員が疑問に思ったことである。

(5)数週間後の10月1日(金)に2人が同支店に戻ってきた。第二段階でいよいよ違法な海外送金の実行行為である。行員IDとパスワードを使いスペイン、香港、トルコ、イスラエルの他銀行へのSWIFT(スウィフトは「Society for Worldwide Interbank Financial Telecommunication(国際銀行間通信協会)」の略称で、国際送金に使用する金融機関識別コード「SWIFTコード」(SWIFTアドレスやBICコードとも呼ばれる)を管理している)を経由した10件の送金操作を試みた。送金の原資は、三井住友銀行に預入されていた東芝インターナショナル、野村アセットマネイジメント、住友化学工業イギリスなど大企業の資金であった。最大の送金金額は4,100万ポンド(約55億7,600万円)であった。

 (6)しかし、この違法なオペレーションは失敗した。銀行休業日の10月2日(土)に、2人は同支店に再度侵入して同様のオペレーションを行ったがやはり失敗した。その原因は、SWIFTの送金情報の記入に基本的なミスを犯したのである。彼らの計画未遂は週明けの10月4日(月)に行員が来てログインして明らかとなった。ありえない取引記録が残され、数台のコンピュータ・ケーブルが切断されていたのである。銀行は直ちに警察に通報し、捜査官は事件の内容から見てケヴィン・オドナヒューの関与を疑い本格的捜査が始まった。CCTVの解析で深夜に2人が支店に侵入していう事実も判明した。

(7) Poelvoordeはベルギーでの前科があり、詐欺で5年の有罪判決をうけており、逮捕された際、偽造パスポートを所持していた。その後問題となったOsselaerはコンピュータサイエンスの学位をもっていた。
(8)英国の重大犯罪対策捜査機関であるSOCA(筆者注4)を中心としたベルギーなどに出向く長期にわたる捜査の結果、主犯はヒュー・ロドリー(Hugh Rodely(61歳))およびその長期にわたるビジネス・パートナーであるベルナード・ディビス(Bernard Davies(71歳)2009年1月16日に自殺)は、窃盗、詐欺および違法な犯罪資金の国際送金や英国外への移動(マネー・ローンダリング)の共謀(conspiracy)の罪で起訴された。

2.刑事裁判所の判決 
 グロースターシア刑事法院(Snaresbrook Crown Court)(筆者注5)は2009年3月5日に主犯Hugh Rodely、ケヴィン・オドナヒュー、Poelvoorde、Osselaer、ベルナード・ディビスの被告5人に対し上記有罪判決を宣告した。

3.今回の事件から見た金融機関等のセキュリティ対策の見直し課題
(1)内部に犯罪協力者がいる場合、各種の安全対策の脆弱性は極端に強まる。また、一概には言えないが休日や夜間に作業を行う派遣従業員、警備員、清掃業者などの業務管理面の強化が必要である。

(2)最も重要な点はキーロガー(Keylogger:もともとPCの操作者に入力データのキーストロークをとらえる診断ツールとしてソフトウェア開発技術で用いられてきたもので、その利用形態はハードウェア型(筆者注6)とソフトウェア型の2種がある)を悪用したハッキング行為対策の重要性である。例えば、金融庁の「システムリスク管理態勢の確認検査用チェックリスト」Ⅴ.(3)データ管理体制」で記されているとおり「データ保護、データ不正使用、不正プログラム防止策について適切かつ十分な管理体制を整備しているか」の具体的対応が的確に行われているかという点ある。
 では、キーロガーの被害防止策とは具体的にどのような対策が現時点で考えられるのか、内外で紹介されている内容も含め整理して見る。
A.マシン内のプログラムのモニタリングや違法デバイスの検出
 恒常的なマシン内のプログラムのモニタリングやハード面ではマシン本体のPS/2キーボードコネクター(青紫色) やUSBコネクターにハードウェア型のキーロガーが装填されていないか確認する。ただし、ハードウェア型ではキーロガー・モジュールが直接キーボード本体に取り付けられるため検出が困難な場合もある。なお、ハードウェア型のキーロガーは①価格が比較的安価(50米ドル(約5,000円)くらいからある)であること、②専門技術なくても簡単に取り付けられること、③メモリーなどに記録が残らないこと、④スパイウェア対策ソフトでは検出できない点である。
B.ウィルス対策ソフトによるキーロガーの検出
 ウィルス対策ソフトやスパイウェア対策ソフトを使用する。ただし、犯罪捜査など合法的に販売されているものや自作のものの場合は検出が困難である。
C.キーロガー専用検出ツールの利用
 ①マルウェアのパターンマッチング検出、②キー入力をフックしての検出、③ファイル・スキャン検出が一般的である。
D.コード署名(Code signing)
 マイクロソフト社のOSであるWindows VistaやServer2008の64ビットバージョンはカーネルモードデバイスドライバが強制的なデジタル署名を実装されており、解除しない限り、主要なキーロガー・ルートキットのインストールを制限する。
E.ファイアウォール
 ファイアウォールを可能にするとキーロガーそのものは阻止できないが、適切に構成されるとネットワーク上でロギングされた情報の伝達が阻止される。
F.ネットワーク・モニター
 ネットワーク・モニターは、ネットワークに対し外部から接続が行われるとユーザーに警告を鳴らすものである。これはキーロガーがリモートで自分の機器にログイン情報を伝送するのを阻止する。
G.ワインタイム・パスワードおよび2段階認証
 パスワードの組成は、USBトークンやカード型計算機により行うもので、キーロガー対策として効果や有効は評価されており、わが国でも大手銀行のインターネットバンキングですでに利用されている。ただし、トークン等の経費負担、本人の管理責任やユーザーの使い勝手からみるとなお課題もある。
H.スマートカードの使用
 スマートICカードの中にある集積回路を通じてログイン情報のやり取りを行うため同じ情報が伝達されない。
I.ヴァーチャル・キーボード(On-screen keyboard)
 わが国のインターネットバンキング(Web-based keyboards)でも使用されている。ただし、その巨額なコスト負担が問題となっている。また、ヴァーチャル・キーボードは新しい技術ではなくWindowsのOSプログラム中のアクセサリーから選択できる。(筆者注7)ただし、四肢に傷害があるユーザー向けでありサイバー犯罪対策として開発されたものでないため、更なる課題もある。


4.キーロガー・ビジネスやキーロガー詐欺の差止命令や刑事告発をめぐる米国の動向
 (1)連邦取引委員会によるキーロガー・ソフト販売業者に対する差止命令請求
 米国人権擁護団体であるEPICは2008年3月6日に連邦の業界監督機関である連邦取引委員会(FTC)に対し、CyberSpy Software,LLC(フロリダ州に本部)の違法ビジネスの差止め(injunction)および補償請求を行った。これを受けてFTCはその請求の採択を4-0で行った後、2008年11月5日に連邦取引委員会法(FTC Act)(合衆国法典第15編第2章第Ⅰ副章第53条(b))の13条b項他(筆者注8)に基づきフロリダ中央区連邦地方裁判所オーランド部(District Court for the middle District of Florida Orlando Division)に対し行ったCyberSpy Software,LLCおよび同社CEOのTracer R.Spenceへの違法ソフトなどの販売差止めおよび衡平法上の救済(仮差止命令)を請求したが、その請求理由および措置の内容は次のとおりである。

〔FTCの差止請求事由〕
(1)法定証拠書類による被告のキーロガーソフトによる違法性の高い手口
①被告は自社の顧客に対し、いかにスパイウェア(商品名:RemoteSpy)を写真のように無害とみせてEメールに添付するか詳細な説明を行った。
②犠牲者が変装したスパイウェアをクリックすると、キーロガーソフトは犠牲者のPCのHDに無言のまま静かにインストールされる。
③このスパイウェアは犠牲者のパスワードを含む取込画像、閲覧したWEBサイトなどすべてのキーストロークを記録し、そこで集められた情報の収集と組織化を行うため、RemoteSpyの顧客は被告の運営するウェブサイトにログインした。
④被告は、RemoteSpyは100%検出されないと誇大な宣伝していた。

(2)FTCの裁判所への申立事由は次のとおりである。
①不公正な宣伝行為および販売行為は連邦取引法違反(筆者注9)
②コンピュータの所有者または権限を持つもの以外による遠隔地操作を実行させた。
③ひそかに個人情報を収集しかつその個人情報を公開させた。
〔裁判所の緊急差止命令および仮差止め命令の発布〕
 2008年11月6日に同裁判所は緊急差止命令を発し、また11月25日に仮差止命令を発布した。

(3)米国連邦司法省(DOJ)の起訴例
〔配偶者や恋人の監視ソフト(Loverspy)の開発・販売会社に対するDOJの告訴〕
 2005年8月26日にDOJのカリフォルニア州南部地区検事Carol C.Lamおよび刑事部副検事John C. Richterがリモート型スパイウェアの“Loverspy”を告発した。同省のリリースによると次のようなソフトウェアの開発などが行われており、同省は通信傍受法(Wiretap Act)(筆者注10)および「コンピュー詐欺及び不正利用防止法(the Computer Fraud and Abuse Act(CFAA):18 U.S.C.§1030)」違反を理由として告訴したものである。なお、開発販売に関与した被告カルロス・エンリケ・ペレス・メララ(Carlos Enrique Perez-Melara)に計35訴因(counts)の基づく起訴を行った。1訴因につき最高5年の禁錮刑および最高25万ドル(約2,500万円)(併科もある)であることから当時のメデイアは最高175年の禁錮刑裁判として話題となった。
 またDOJは、同ソフトを使用してハッキング行為や盗聴行為を行ったことを理由に4人に対し、2つの訴因(counts)に基づき起訴を行っている。
 なお、起訴状によると当時のウィルス対策ソフトはLoverspyの危険性を認識できず、米国以外も含む1000人以上の購入者は2000人以上の被害者の電子メール、パスワード、チャットセッション、インスタントメッセージウェブサイトの閲覧内容のモニター、記録および報告を行ったのである。

(4)キーロガー詐欺をめぐる告訴例
2003年2月6日にマサチューセッツ州ミドルセックス郡の大陪審(grand jury)はロードアイランドに住む元大学生ダグラス・ブードロー(Douglas Boudreau)21歳に対し、①電気通信の妨害行為に関する6つの訴因、②無権限のコンピュータシステムへのアクセスに関する8つの訴因、③250ドルの窃盗(larceny)と身分詐称詐欺(identity fraud)に関する2つの訴因につき有罪評決した。被告は数千人の大学のコンピュータ利用者の個人情報を収集する目的でボストン大学の数10台のコンピュータにキーストロークをモニタリングする不正ソフトをインストールしていた。その結果、被告は約4,800人の教授、学生、事務局員などのパスワード、大学のビル内へのアクセスコード、クレジットカード情報や社会保障番号などを不正に収集した。
http://news.zdnet.co.uk/itmanagement/0,1000000308,2130064,00.htm


(筆者注1)EPICがキーロガー問題サイトで解説しているとおり、サイバー犯罪という面だけでなく、個人の行動のリモート監視支援技術としても注目されている。

(筆者注2)米国の裁判上、原告が損害賠償の請求に加えて、被害の拡大など被告が継続的営業を止めたい場合は、訴訟の係属中(つまり本案に対する判断がなされる前に)回復不能の損害が生ずるのを予防すべく「仮差止命令(preliminary injunction order:PIO)」を求めることになる。仮差止命令が求められた場合、裁判所は、原告による仮差止命令を求める申立につき審尋(hearing)を行う。この場合、原告は正当な理由があること、すなわち、差止命令がないと訴訟の係属中(本案に対する判断がなされる前に)に切迫しており、かつ、回復不能な損害をもたらしうる権利侵害が行われることを示す必要がある。仮差止命令を発すべきかを裁判所が決める審尋に先立って回復不能の損害が生ずることを原告が示し得た場合、審尋までの間の現状を維持することを目的とする「緊急差止命令(temporary restraining order:TRO)」が短期的なものとして発されることがある。裁判が最終的に判決されるときの差止めを“Permanent Injunction ”という。
前者は、相手方に対する通知と審尋がなされた後で出され、通常は訴訟の最終的解決までの暫定的な措置を定めるものであり、後者は、相手方に対する通知もなく一方的な申立に基いて出される緊急的性格のものである。
http://www.lectlaw.com/def/i046.htm、http://legal-dictionary.thefreedictionary.com/Injunction
 この“Injunction order”は、一定の行為を禁止する裁判所の命令で、「禁止命令」ともいう。日本の法律には直接「差止め」を規定したものはないが、公害裁判等でその現実的な必要性を理由に判例・学説上認められている。
 なお、わが国の法律では、権利を保全するために、その権利を確定または実現させるまでの間、裁判所から命ぜられる民事保全法上の暫定的処分を「保全命令」といい、金銭債権を保全する目的の「仮差押命令」と金銭債権以外の保全を目的とする「仮処分命令」の2種がある。

(筆者注3)次の事例は、スパイウェア被害に関するスパイ対策啓発WGサイトからの引用したものである。
①2005年8月、米国でスパイウェアを使った大規模な個人情報盗難が発覚しました。攻撃者はPC上のキーボード入力を記録して外部に送信するスパイウェア(キーロガー)を使って多数のパソコンからクレジットカード番号、社会保障番号、ユーザー名、パスワード、インスタントメッセージのチャット内容、検索のために入力したキーワードなどの個人情報を収集しました。関係した銀行は50にもおよび、現在、連邦捜査局(FBI)がこの事件について調査を進めています。
②2005年7月4日、国内のネット銀行でパソコンの情報が盗まれ預金が引き出される事件
が起こりました。攻撃者はPC上のキーボード入力して外部に送信するスパイウェア(キーロガー)を使ってインターネットバンキングの利用者のPCから口座の支店名や口座番号、パスワードを盗み、預金13万円を無断で引き出していました。
③2005年7月9日、国内のネット銀行でパソコンの情報が盗まれ貯金が別の口座に転送さ
れる事件が2件起こりました。預金が不正に振り込まれる事件が2件発生しました。攻撃者はPC上のキーボード入力を記録して外部に送信するスパイウェア(キーロガー)を使って利用者のPCからネットバンキング用のIDやパスワードを盗み、利用者の口座から、別の口座に総額500万円を無断で転送しました。

(筆者注4) 英国政府は「2005年重大組織犯罪および警察法(Serious Organised Crime and Police Act 2005)」に基づき、2006年4月に全英ハイテク犯罪機構(The National Hi Tech Crime Unit:NHTCU)を廃止し、重大組織犯罪対策機構(Serious Organised Crome Agency:SOCA)の稼動を開始した。SOCAは米国連邦捜査局(FBI)にならって英国FBI(Britisch FBI)と呼ばれているが、テロや殺人事件機能、権限は有しておらず必ずしも正確な名称ではない。SOCAは独立の公共独立機構(Non-Departmental Public Body)である。


(筆者注5) 2006年5月27日の本ブログでも英国刑事法院について言及している。英国は陪審制度を導入しており、わが国の裁判員制度との関連もあるのでここで「英国の裁判制度」および「刑事裁判制度」について簡単に説明しておく。なお、英国の裁判制度全体についての図解を探したところ、米国の連邦議会図書館(Library of Congress)サイトで見つけた。もともとは英国法務省(Minister of Justice)のサイトにイングランドとウェールズ他の裁判機構の概要図(Outline of court structure in England & Wales)が掲載されている。わが国の最高裁判所に当たるのが「貴族院(House of Lords)」である。議会が司法の最高機関を兼ねるのは三権分立に反するといった指摘もあろうが、そもそも英国ではそのような矛盾は従来からあり、2004年から2009年にかけての司法改革の結果、2007年に生まれた法務省が裁判所、刑務所および執行猶予サービスの最高責任すなわち刑事、民事や家庭内の裁判問題ならびに民主主義や国民の憲法上の各種権利の実行責任を持つとした背景も理解しやすいであろう。

(筆者注6)国際的な情報セキュリティ専門会社(Kaspersky Lab)サイトの説明では、一般人にも分かりやすくまたキーロガー犯による被害の急増の実態や具体的な防止策について写真入りで解説されている例英文で紹介している。なお、ここで紹介されている防止策はわが国の大手銀行のインターネットバンキングにおいてすでに導入されているが、今後の新たなハッカー対策として更なる研究が必要であろう。(Wikipediaではハードウェア型のキーロガーについてワイヤレス型も紹介されている)

(筆者注7)
Windowsのスクリーンキーボードの設定方法について説明しておく。「すべてのプログラム」→「アクセサリー」→「ユーザー補助」→「スクリーンキーボード」の順である。

(筆者注8)FTCの裁判所への請求の根拠条文は15 U.S.C.53(b)および45条(a)であるが、正確に記すと“U.S.Code Title 15>CHAPTER 2>SUBCHAPTER Ⅰ>§53(b)であり、 FTCの偽広告(false advertisement)に係る緊急差止命令および仮差止命令請求の根拠条文である。なお、45条(a)はFTCが不公正な競争や通商および欺瞞を違法と宣言し裁判所にその差止めを請求する根拠条文である。
 なお、わが国の現行法制の中で被告の誇大広告を取締ったり排除命令を行なう方法として公正取引委員会サイトでは「景品表示法第4条第1項第1号(優良誤認表示規制)は,商品・サービスの品質,規格その他の内容(以下「商品・サービスの内容」という。)について,一般消費者に対して実際のものよりも著しく優良であると示すこと,又は一般消費者に対して事実に相違して当該事業者と競争関係にある他の事業者に係るものよりも著しく優良であると示すことにより,不当に顧客を誘引し,公正な競争を阻害するおそれがあると認められる表示を不当表示として禁止している。」とある。また、同委員会は「不当景品類及び不当表示防止法第4条第2項(不実証広告規制)の運用指針 」に基づく具体的運用を行っている。
 景品表示法に違反する不当な表示や,過大な景品類の提供が行われている疑いがある場合,公正取引委員会は,関連資料の収集,事業者への事情聴取などの調査を実施する。調査の結果,違反行為が認められた場合は,公正取引委員会は,当該行為を行っている事業者に対し,不当表示により一般消費者に与えた誤認の排除,再発防止策の実施,今後同様の違反行為を行わないことなどを命ずる排除命令を行う。 また,違反の事実が認められない場合であっても,違反のおそれのある行為がみられた場合は「警告」,違反につながるおそれのある行為がみられた場合は「注意」の措置がとられる。
 なお、同法第11条の2は、「消費者契約法(平成12年法律第61号)第2条第4項に規定する適格消費者団体は、事業者が、不特定かつ多数の一般消費者に対して次の各号に掲げる行為を現に行い又は行うおそれがあるときは、当該事業者に対し、当該行為の停止若しくは予防又は当該行為が当該各号に規定する表示をしたものである旨の周知その他の当該行為の停止若しくは予防に必要な措置をとることを請求することができる。」と適格消費者団体による差止請求権を定めている。

(筆者注9)FTCは2003年4月15日に53条(b)および45条(a)に基づきイリノイ州北部区連邦地方裁判所東部(District Court for the Northern District of Illinois Eastern Division)裁判所に対しに基づきスパマーに対しスパムメールの緊急差止め、仮差止めおよび差止命令の請求を行っている。

(筆者注10)米国における「1994年通信傍受支援法(Communication Assistance for Law Enforcement Act:CALEA)」をめぐる人権問題について2006年5月27日の本ブログで紹介している。

〔参照URL〕
http://news.bbc.co.uk/2/hi/uk_news/7909595.stm
http://www.guardian.co.uk/uk/2009/mar/04/sumitomo-bank-fraud-attempt
http://www.ftc.gov/opa/2008/11/cyberspy.shtm

Copyrights (c)2006-2009 福田平冶. All rights reserved

2009年4月5日日曜日

オーストラリア政府の生活支援ボーナス支給とフィッシング詐欺警告について

 
  2009年4月に給付されるオーストラリア政府の生活支援ボーナスについては3月2日付の本ブログで取り上げた。
 これに関し、筆者も懸念していたとおりボーナ給付をめぐる詐欺集団の行動が同国で問題となり、政府税収局(Australian Taxation Office:ATO)や、SCAMwatchおよび給付事務の中心となるCentrelink等関係機関が広く消費者にフィッシング詐欺の警告を行っている。その情報は筆者が参加している同国のディスカッショングループから入手したのであるが、今回のボーナス給付に関する政府税当局の情報フォローの実態も併せて紹介しておく。
 また、同国の詐欺専門サイトSCAMwatch は詐欺問題の各被害者からの報告に基づき各種詐欺の手口を簡潔に公開している。その内容を見ると主たるパターンは以下の2.のようになるが、類似のパターンも併せて説明されている。なお、各類型の解説は別途米国のインターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)の2008年中の苦情受付に基づくインタ-ネット詐欺に関するブログ原稿を別途作成中であり、重複しない範囲で解説を試みたので、その内容も併せて読んで欲しい。
 なお、わが国の定額給付金にかかる詐欺の手口に関し警視庁が警告を鳴らしている(筆者注1)。詐欺社会の変化についていくことがIT社会で生きていくことなのか。


1.SCAMwatchのオーストリアにおける1回限りのボーナス支給に関する詐欺被害の危険性に警告
 4月上旬にオーストラリア政府機関であるATOとCentrelinkは緊急総合経済対策の一環としてボーナス支給を行うが、SCAMwatchが集めた苦情によると詐欺師が政府機関(ATOやCentrelink)のふりをしてボーナス支給を受けるため(受給者適格)には特定の様式を持った請求書の完全な作成が必要であると説明する偽の電話、Eメール等を送りつけている。その様式の内容は受給者の姓名、住所および銀行取引の詳細情報である。
 今回の給付手続において、Centrelinkは受給対象者の2007年・2008年度の給付税額控除指定口座に一定の計算方式に基づき振込むため、そのような手続は一切不要なのである。大多数のオーストラリア人はその事実を知っているはずであるが、まだ銀行口座の変更中のため税還付手続を行っていない人などのために警告を鳴らしたものといえる。
 自分自身を守るために何をなすべきか、次のような注意事項を記載している。
(1)自分から要求していないEメールに対しクレジットカード情報や銀行取引の明細情報を返信したり、相手が真に確認できない場合は決してウェブサイト上でそれらの個人情報を送信してはならない。
(2)あなたがATO、Centrelinkや取引銀行からEメールを受け取ったときは、直ちに削除すること。
(3)それらのEメールに添付された文書等を開いたり、リンクを張らないこと。
(4)電話番号やアドレスは銀行の取引明細書や電話帳といった公式に認められたものに記載されたもののみを使用すること。自らが要求していないEメールに対し、これら機微情報を回答してはならない。

2.SCAMwatchの詐欺手口・犯罪類型分析
 ” SCAMwatch”は、オーストラリア競争・消費者委員会(Australian Competition & Consumer Commission:ACCC)が運営している詐欺・悪徳商法に関する情報ウェブサイトである。連邦の各州や海外の被害の場合はACCC、また金融や投資に関する詐欺の場合はオーストラリア証券投資委員会(Australian Securities & Investments Commission:ASIC)、銀行やクレジットカード詐欺の場合は取引金融機関というようにいろいろな報告先とリンクを張り、また被害に会わないための関連記事等を検索できる。(筆者注2)
 さらに興味深いのは詐欺の手口・類型を具体的に列挙し、それぞれに対し前記報告の重要性の説きながら、自身の被害拡大を阻止するための相談機関等の情報を具体的に説明している点である。
詐欺の類型分類は欧米各国で工夫されている。SCAMwatchサイトでは、一部米国のIC3では解説されていない詐欺類型があるので、その項目についてのみ簡単に説明する。
なお、これらの被害防止の解説を読めばすぐに理解されると思うが、共通的な答は自分自身常識的に判断し、人間欲を出さないことのようである。「うまい話の裏には詐欺がある」という昔からの言い伝えは正しかろう。

①宝くじや勝ち抜き詐欺(Lottery and competition scams)

②マルチ商法やねずみ講(Chain letters and pyramid scams)

③投資詐欺(一攫千金詐欺)(Investment scams :get-rich- quick)
(ⅰ)売込み電話(Cold calling investment telemarketing)
時として海外市場における高収益とハイリスク投資を強引に働きかける押し売り電話セールスである。電話のかけ手は、一見投資のプロのように聞こえるがオーストラリアでの取扱免許をもっていない詐欺者である。
(ⅱ)株式の販売促進と「トビキリいい情報(hot tips)」
スパムメールや胡散臭い電話によりほとんど流通していない株式の購入をせかす。詐欺師は犠牲者が同株に投資するまで株式の売却を待つのである
(ⅲ)投資セミナーと不動産詐欺(real estate scams)
ハイリスク商品販売戦略による高圧的販売セールスを行う詐欺。詐欺師は一方でセミナー参加手数料(attendance fee)で儲け、また他方で暴騰的価格(inflated prices)で不動産を被害者に売却する。
(ⅳ)コンピュータ予測ソフト(賭けソフト)の販売詐欺
 スポーツ・イベントや株式市場の結果を予想するソフトウェアー・パッケージを売り込む。そのソフトは期待通り機能せず配当はありえない。
(ⅴ)退職年金詐欺(superannuation scams)
特に自己管理型年金ファンド(self-managed super fund:SMSF)の加入者に退職前に繰り上げ給付(release)をすすめる申出詐欺が大きな社会問題となっている。(筆者注3) (筆者注4) (筆者注5) (筆者注6) (筆者注7)

なお、投資詐欺に類似するものとして次のものが例示されている。
(ⅵ)ビジネスチャンス詐欺
(ⅶ)雇用や収入保証を誘いつつ前払いの謝礼や教材費を要求する詐欺

④送金・金融取引情報要求詐欺(ナイジェリアからの手紙詐欺(Nigerian’ scams))(筆者注8)

⑤銀行取引情報入手詐欺(banking & online account scams)
なりすまし詐欺の手口と共通性がある。フィッシング詐欺が典型であるが
その偽メールでは被害者の口座に不具合があり確認ために口座番号や暗証番号等正確な取引情報の提供を求めるのである。また、キャッシュカードやクレジットカードの磁気ストライプ情報等を違法にコピーするスキミング詐欺も類似の詐欺である。その他、オンライン・バンキングのキーボードの入力内容を違法なソフトウェアーを使って盗取する「キー・ロガー(Key-loggers)」も同種の詐欺行為である。

⑥なりすまし詐欺(Identity theft scams)

⑦インターネット詐欺(Internet scams)
(ⅰ)オンライン・オークション詐欺
(ⅱ)偽ドメイン名更新詐欺(Domain name renewal scams)
被害者の真のドメインに関し偽の更新ドメイン名を通知してきたり、または請求明細書(invoice)で極めて紛らわしいドメイン名を送りつけてくる詐欺である。
(ⅲ)一般にスパムメールは極めて安いおまけ品や冨を約束するが、これに回答することは消費者のPCや銀行口座の安全性に問題を引き起こす結果となる。
(ⅳ)無料のウェブサイトへのアクセス、ダウンロード、休暇提供、株式、および試供品―被害者はその対価としてクレジットカード情報や個人情報を提供することになる。
(ⅴ)モデムのハイジャッキング(modem hijacking)(インターネットでユーザーに接触し、閲覧ソフトをダウンロードさせ、ユーザーがこの閲覧ソフトを使用すると、ユーザーが知らないうちにダイヤルアップの設定を勝手に変更してしまうプログラムを利用して、従来使用していたローカルのインターネットプロバイダーに接続する代わりに、非常に使用料の高い0900番号(premium rate phone number)や国際電話番号に接続させてしまう詐欺行為である。被害者は膨大な料金請求を受けて初めて被害に気づく。)

⑧携帯電話詐欺(Mobile phone scams)
 詐欺者は被害者を以前から知っていたような電話(テキスト・メッセージ)をかけてきたり、不在着信コール(missed call)で被害者からのリダイヤルを待っていたりする。無料の着信音を提供したり、夢のような商品の提供を約することで前払いを促すが隠れた費用請求があるのが一般である。被害者がこの呼び出しに答えるとがっかりする商品やまったく欲しくない商品やサービスが提供され、取消できないようサインしてしまうことがある。最後に巨額な電話代の請求が届くのである。
 この種の詐欺にはSMS(携帯電話同士で短い文字メッセージを送受信できるサービス。国内のSMSとしてはNTTドコモの「ショートメール」や、auの「Cメール」などがある)を利用したコンテストや簡単なクイズですばらしい商品が当たるというものがあり、しかし参加費がいくらかかるかは知らされないである。

⑨健康や医学に関する詐欺(Health & medical scams)
 健康に不安をもっている人々を搾取する詐欺である。詐欺師はありえない対処策や複雑な健康治療を簡素化できると約束するが、これらの詐欺にかかると被害者は重大な健康被害を受ける。
(ⅰ)妙薬(Miracle cures)
この妙薬詐欺は、病気にかかったり荒治療を要する者をえさにまったく機能しないか、かえって危険なものである。
(ⅱ)減量詐欺(Weight loss scams)
 詐欺師の不当な要求は「革命的やせ薬」、「クリーム」、「食事のアドバイス」、「健康機器」に基づき行われる。
(ⅲ)偽のオンライン薬局(Fake online pharmacies)
 非常に安価の薬や処方箋なしで薬を提供するが、重大な健康障害や不当に高額な請求を伴う。(筆者注9)

⑩仕事や雇用斡旋詐欺(Job & employment scams)

⑪中小企業経営者向け詐欺(Small business scams)
この種の詐欺は、数種類の書式すなわち一度も注文したことがない広告代の請求書、ありえない事務所内の事務用品代および政府からのにせの送金要求書等で行われる。被害に会わないための防御策は、購入や注文する際の責任者を限定し、すべての注文書・購入書を保存するとともにそれらの権限を信頼に足る人物のみ行わせることである。

(筆者注1)4月2日付の警視庁生活安全総務課の警告内容は次のとおりである。このような早期の被害防止の姿勢が詐欺師には最も効果的であることは過去の例に見られる。
「大阪府や宮城県において、市職員や代行業者を装い現金を騙し取る「給付金詐欺」が発生したほか、全国で給付金の支給開始にあわせた不審電話等が多発しています。
 都内でも、3月に入り、市や区の職員を名乗り
  ・高齢者宅へ「給付金のことで」と言って、個人情報を尋ねる
  ・携帯電話に「給付方法はどれを希望しますか」等の確認をしてくる
  ・「郵政省です。定額給付金のお知らせです」等のガイダンスを流す
  ・口座番号が誤っていないかどうか確認に行きたい
等の不審な電話や、
  ・定額給付金の申請書を持っている人に対する「手続きを代行します」
という声掛け、また、
  ・手続きが面倒なので区役所から手伝うよう言われて回っています
  ・定額給付金はいくらもらえるか知っていますか
等代行業者やアンケート調査を装う訪問事案等が発生しています。
 ○予想される事案
 ・手数料の支払いを求められたり、個人情報・口座番号を聞かれる
 ・訪問し、通帳・カードの確認を要求される
 ・窓口で現金の給付を受けた人を狙う「ひったくり」
 ○防犯対策
 不審な訪問・電話には、相手の連絡先、氏名、部署を尋ね、自治体に必ず確認するとともに110番通報をお願いします。また、「ひったくり」も多発していますので十分気をつけてください。」

(筆者注2) SCAMwatchのサイトを見てすぐ気が付くのは詐欺被害者へ詐欺の類型別に報告方法・報告先について詳細な説明を行っている点である。要するに迅速な関係機関への報告が新たな被害者の増加を阻止する最も有効な手段であるからである。もう1点は消費者が自分自身被害に会わないために以下に行動すべきかについて懇切丁寧に解説を加えていることである。その中でわが国でも共通的に使える教訓は次の2つであろう。
①黄金律(Golden rules)要するにうまい話には裏がある。冷静に常識に従って判断することの重要性である。一攫千金で儲けるのは詐欺師のみである。
②圧力がかかった状態で決定を行わないこと。金銭や投資に関するものであれば独立系の金融アドバイザーの支援を受けるべきである。

(筆者注3)オーストラリアの連邦金融監督機関である証券・投資委員会(Australian Securities & Investment Commission:ASIC)のサイトでは概要次のとおりの警告が行われ、併せて年金受給権の早期譲渡に関する犠牲者実話例(true story from victims of early release schemes)が紹介されている。
「自己管理型年金(self-managed super fund:SMSF)における年金受給資格者が給付金(benefit)につき早期繰上げ給付(early release)を受けたり、代行業者により有料で入手するよう説得する者がいたら直ちにASICまたはATOに報告してください。住宅ローンの返済が滞るなど世帯の財政危機を経験したときにそのような行動に出ることは一応理解できるが、その行為は明らかに違法なものであり最後の切札である。繰上げ給付の違法な実行は金融監督機関が定める規則に基づき重大な法的および金銭的刑罰を受けることになります。」

(筆者注4)ASICサイトで見ると、2004年10月27日クィーンズランド連邦裁判所は退職年金の早期繰上げ給付を消費者に勧めていた同州の業者2人に対し恒久差止め命令(permanent injunction)を全裁判官一致の決定として得た例を紹介している。わが国でも経済不安が広がる中、同様の詐欺行為が広がらないよう関係機関の早期の取組が期待される。

(筆者注5)連邦政府の監督下で責任投資原則(PRI)に基づき退職年金を厳格運用している産業ファンドとして代表的なのが、オーストラリア退職金投資連盟(Australian Reward Investment Alliance:ARIA)である。連盟の意味は、公的年金と公職年金の双方をカバーする産業ファンドであるからある。
 なお、2008年5月に内閣府が公表した「安全・安心で持続可能な未来のための社会的責任に関する研究会報告書」はPRIやESG投資(Environmental ,Social,Corporate governance)について内外の状況を含めよく整理されている。

(筆者注6)わが国では、貸金業者における違法年金担保問題が社会問題化し、弁護士会や司法書士連合会等からの強い要請決議に基づき2004年(平成16年)12月28日施行されたいわゆる「違法年金担保融資対策法(貸金業の規制等に関する法律の一部を改正する法律(法律第158号(平成16年12月8日公布)」は次の規制強化を定めた。(金融庁サイトから引用)
1.広告・勧誘に当たって禁止される行為の追加
貸金業者は、年金等の公的給付の受給者の借入意欲をそそるような表示又は説明をしてはならないこととされた。
2.公的給付に係る預金通帳等の保管等の制限
貸金業を営む者は、貸付けの契約について、その貸付金の弁済を公的給付を原資とする資金から受ける目的で、法令の規定により譲り渡し、担保に供し、又は差し押さえることができないこととされている公的給付が振り込まれる銀行口座等の預金通帳やキャッシュカード、あるいは年金証書などの引渡しを求め、又は保管する行為を行ってはならないこととされた。
3.罰則等
上記2に違反した者について、1年以下の懲役若しくは300万円以下の罰金に処し、又はこれを併科することとされました。また、上記1及び2に違反した者は、行政処分の対象とされた。

(筆者注7)類型②、③、④は基本的にかなり類似のものといえる。

(筆者注8)ナイジェリアからの手紙詐欺はわが国でも有名は詐欺である(ナイジェリア刑法419条)。筆者もかつて警察庁の幹部との勉強会で同詐欺が話題となったが、幸いかな日本向けに英文で送られてくるためほとんど理解されないまま削除されてしまうので被害届もまずないそうである。筆者は1日あたり海外からの各種メールが平均200通くらい来るのであるが、ナイジェリアからの手紙は1年間に数えるくらいである(あまりにもスペルミスが多くまたパターンが同じなので笑ってしまう)。しかし、米国の場合は笑っていられないのが実情のようである。2008年1年間の被害報告の基づく「2008 Internet Crime Report」4/1②によると、全報告件数のうち同犯罪類型に分類される件数は2.8%、被害金額中の割合では5.2%、平均被害額は1,650ドル(約16万5千円)と比較的高額である。なお、上記米国の統計(IC3)を見ると、投資詐欺の場合でも平均被害金額は3,548ドル(約35万5千円)である。わが国でよく問題となる投資詐欺に比べると被害額が極めて少ない気がするが、個人の貯蓄額の差であろうか。

(筆者注9) 4月7日に筆者に届いたメールに“World famous medical products at discount. http://lpmuz.zwefopcyn.com/と言うメッセージのみのものがあった。開きはしなかったが、この種のものであろう。

〔参照URL〕
http://www.scamwatch.gov.au/content/index.phtml/itemId/757362
http://www.scamwatch.gov.au/content/index.phtml/itemId/694085

Copyrights (c)2006-2009 福田平冶. All rights reserved

2009年4月3日金曜日

米国連邦金融機関検査協議会(FFIEC)、FinCEN等が銀行秘密情報報告法等に関する改訂マネロン銀行検査マニュアルを公表(2006年9月3日掲載の補追版)

 
 米国連邦金融機関検査協議会(Federal Financial Institutions Examination Council:FFIEC)(筆者注1)、金融犯罪法執行ネットワーク(Financial Crime Enforcement Network:FinCEN)(筆者注2)ならびに外国資産管理局(Office of Foreign Assets Control:OFAC)(筆者注3)が、2006年7月28日に「銀行秘密取引の報告等に関する法律(Bank Secrecy Act)」(筆者注4)等マネロン防止に関する検査マニュアル2006年改訂版(筆者注5)を公表した。また、2007年8月24日にさらに2007年改訂マニュアルを公表している。
 以下において2006年版の概要を紹介する。なお、これらの行動の背景には世界的規模のマネーローンダリング対策の責任組織であるFATF(金融活動作業部会)40の勧告に基づく対応があるのであるが、最近のわが国の対応としては、2006年8月30日に公表された「郵便受取および電話受付」代行業の追加を始め(筆者注6)、金融庁も、具体的対応が進んでいる。米国では、実は前記監督機関連名で、金融機関の協力強化の観点から9月13日、14日の2日間にわたり(両日とも内容は同じである)1時間という短時間ではあるものの全米ベースの金融機関等を対象とするインターネット会議(電話会議も併用されている)を開催し、改訂マニュアルの主な改正内容につき説明がなされる。登録期限は9月6日であり、筆者はすでに登録手続きを終えたが、関心のある向きはチャレンジされたい。(筆者注7)


1.2006年改訂マニュアルの構成
全体で6章および付属資料で367頁(PDF版)にわたるものである。
(1)序論
(2)BSA/AML遵守プログラムの調査に関する検査概観および手続
(3)関係法令に基づく要求内容および関連のテーマに関する基幹(core)となる検査概
 観
(4)遵守対象企業の範囲拡大および外国銀行の支店等に関する検査概観
(5)米国内外における遵守対象商品・サービスについての検査範囲拡大に関する検査概 
 観
(6)人や企業についての検査範囲拡大の概観
(7)附属資料(関係法令、指令、参照資料等)

2.2006年改訂マニュアルを読むうえのポイント
(1)前記(2)章、(3)章の大部分は検査官におけるBSA/AML遵守検査プログラムの基盤となる部分で「検査範囲および検査計画」(PDFバージョンの15~17頁参照)および「BSA/AMLリスク査定」(同27頁)等が中心となる。両章に共通する用語、例えば「funds transfers」「foreign correspondent banking」等であり、これらの明確化が検査官等の改訂内容の理解向上につながる。
(2)検査官は、最小限次のような手続を踏まえ検査対象の金融機関のリスク査定を均一
的に行う。
 ①検査範囲および検査計画(15~17頁参照)
 ②BSA/AMLリスク査定(27頁参照)
 ③BSA/AML遵守プログラム(34~39頁参照)
 ④検査総括および検査の終了(41~44頁参照)
(3)OFAC規則は、BSAの一部ではないが、OFACによる制裁処分の遵守確認に関し、検査
対象機関の遵守方針や検査手続に関する基幹となる各章に関するものである。このた
め、検査官は検査範囲ならびに検査計画の策定に当り、銀行のOFACのリスク査定内
容を確認するとともに、銀行のOFAC対応プログラムが検査期間中に行動を伴って行
われているか否かをチェックする(マニュアルの144~146頁にわたるOFAC基幹検査
手続参照)。
(4) 金融機関が的確な管理を欠く場合、企業・商品、顧客、企業はBSA/AMLに関する
リスクを負うと評価される。加えて、今回拡大された章は、それに応じたリスク管理責任を負うことになる。これらの基幹となる検査手続は、すべての金融機関にとって適用可能なことではないが、独立したこれらのテストによる遵守内容の品質、数量の確認が求められることは間違いない。

(筆者注1)FFIECは、米国の連邦金融監督機関である連邦準備制度理事会(FRB)、連邦預金保険公社(FDIC)、全米信用組合管理局(NCUA)、通貨監督庁(OCC)、貯蓄金融機関監督局(OTS)からなる協議会である。監督機関の共通の取組み課題についての指導的機能を有しており、最近ではインターネット・バンキング取引の安全対策の観点から2006年12月末までに各金融機関に多要素認証(multi- factor authentication)の遵守を義務付けており(http://www.fdic.gov/news/news/financial/2005/fil10305.html)、わが国の都市銀行でも始まっている「トークン型ワンタイム・パスワード」もその対応例に当る。

(筆者注2)わが国の監督窓口は、金融庁総務企画局特定金融情報管理官である。

(筆者注3)外国資産管理局の内容について参考となるURLは、http://www.jetro.go.jp/biz/world/n_america/us/invest_02/

(筆者注4)わが国では「Bank Secrecy Act」を「銀行秘密法」と直訳されるケースが未だに多い。
これでは何が秘密なのか、誰の秘密なのかが分からない。同法は、現在では「愛国者法」に基づく改正も行われており、テロ資金防止法(BSA/AML)と引用されることが多いが、1970年に制定された当時は脱税のための資金洗浄阻止も重要な目的であったようであり、企業に対する同法の報告義務に関し、連邦財務省内国歳入庁(IRS)が多く関与している。分かりやすく言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。つまり、報告義務を課されるのは、狭義の金融機関(規制内容や罰則は金融機関の場合が厳しいが)だけでなく、現在は外国の銀行に金融資産を有する企業、さらに貴金属・宝石取扱業者もFinCENへの報告義務が課されるなど範囲が広がっている。IRSのサイトでは企業向けにBSAについて報告義務の内容や罰則規定についてQ&A等で詳しく説明している。
http://www.irs.gov/businesses/small/article/0,,id=152532,00.html

(筆者注5)わが国と同様、「検査マニュアル」は当然のことながら頻繁に改訂されるので、原本に当
る際には注意が必要である。2006年7月28日に改訂された版のURLは次の通りである。FDIC等も
同時に改訂のポイントを公表している。
http://www.ffiec.gov/bsa_aml_infobase/pages_manual/manual_online.htm
pdfバージョンのURL
http://www.ffiec.gov/bsa_aml_infobase/pages_manual/manual_print.htm

(筆者注6)わが国の金融監督機関のマネロン対策の政府機関は、金融庁総務企画局総務課特定金融情報室である。FTAF40の対応に関して、最近では金融庁が2006年6月13日に「カナダ金融部門との疑わしい取引に関する情報交換枠組の署名について」を公表している。現行の金融機関監督規制の下では本人確認法や組織的犯罪処罰法により届出が義務化されているが、今後はより包括的な法規制が行われる可能性が高い。

(筆者注7)登録方法は、米国の金融機関向けに説明されているが、それ以外の場合でも可能ではあ
る。登録サイトの標題は、「FFIEC BSA/AML Examination Manual Outreach Fact Sheet」である。

〔参照URL〕
http://www.bankinfosecurity.com/regulations.php?reg_id=298&PHPSESSID=97c3860d339c70e6d50368b0e0747873

Copyrights (c)2006 福田平冶 All rights Reserved