ACH (自動決済機関) 決済は、アメリカの ACH ネットワークを使用して銀行口座間で資金を移動する電子決済です。このシステムは Nacha によって管理されており、雇用主からの直接入金、請負業者への支払い、請求書の自動支払い、ピアツーピア送金など、さまざまな決済を容易に行えるようにします。

他の種類の電子決済と同様に、ACH 送金は不正利用に対する脆弱性があります。2022 年には組織の 30% がこの種の不正行為に直面したと報告しており、2021 年の 24% から増加しました。このガイドでは、一般的な不正利用の手口、ACH の不正利用発生時の責任、ACH の不正利用の防止および検出方法など、ACH の不正利用について知っておくべき事項について説明します。

この記事の内容

• ACH の不正利用の種類
  
• ACH 決済の追跡方法
  
• ACH の不正利用の責任
  
• ACH の不正検出
  
• ACH の不正防止
  

ACH の不正利用の種類

ACH の不正利用には、ACH ネットワーク内の電子送金プロセスを悪用するさまざまな手口があります。ここでは、さまざまな種類の ACH の不正利用と、ACH の不正利用に使用される一般的な手口について説明します。

ACH の不正取引の種類

ACH におけるほとんどの種類の不正利用は、不正利用者が ACH デビットを使用して自身が管理またはアクセスできる口座に資金を送金したときに発生します。これは、被害者の銀行データに不正アクセスしたり、既存の決済システムを操作して自身の口座に不正な資金を送金したりすることで行われます。また、不正利用者は、検出されないように長期的な手口を採用し、財務ワークフローやシステムにゆっくりと侵入することもあります。

不正な引き落とし

不正利用者は、被害者の銀行口座番号と銀行支店コードを取得し、その口座から資金を引き出せる場合に、不正な引き落としを開始します。このような詳細情報は、フィッシング攻撃、データ侵害、または小切手などの物理的な文書を盗み見ることによって取得します。

• 実行: 口座情報を取得すると、不正利用者は、口座名義人または資金を引き出すためにオーソリされたその他の正当な団体を装って、ACH デビットを開始します。このような取引は、検出されないよう少額な場合があります。

• 検出と防止: 顧客と銀行は、ACH フィルターやブロックなどのツールを使用して、口座名義人が引き落としを行うためにオーソリされた個人や団体を指定できるようにすることができます。顧客は、不正な取引がないか口座を定期的に監視する必要があります。

アカウントの乗っ取り

アカウントの乗っ取りは、不正利用者が銀行口座のデジタルプラットフォームに不正アクセスしたときに発生します。サイバー犯罪者は、マルウェア、フィッシング、キーロギングなどを使用してログイン認証情報を盗みます。

• 実行: 不正利用者は、ログイン認証情報を使用して銀行口座にログインし、自身が管理する他の口座への ACH 送金を開始します。

• 検出と防止: 銀行プラットフォームにアクセスするための多要素認証 (MFA) や、行動的生体認証などの高度なセキュリティ対策を実装し、サイバーセキュリティの実践について従業員をトレーニングすることで、アカウント乗っ取りのリスクを最小限に抑えます。

ACH カイティング

ACH カイティングとは、不正利用者が ACH 送金の開始から資金の引き落としまたは入金までの遅れを悪用し、事実上誤った残高を作成することです。

• 実行: 不正利用者は、異なる銀行の管理口座間で送金し、取引が完了する前に人為的に残高を膨らませて、存在しない金銭を引き出したり使用したりできるようにします。

• 検出と防止: 銀行はツールを使用して、端数処理された金額が頻繁に銀行間で送金されるなど、カイティングを示す可能性のあるパターンを分析できます。また、資金をリリースするための拡張検証を実装することもできます。

偽の支払い

この手口では、不正な請求書を企業に送信したり、既存の決済指示を操作して、不正利用者が管理する口座に支払いを流用したりします。

• 実行: 不正利用者は、正当なベンダーを装ったり、完全に架空の注文を作成したりして、企業に誤った口座に ACH 決済を行うよう仕向けます。

• 検出と防止: 企業は、安全で独立した通信チャネルを介して、既知の連絡窓口に決済情報の変更を確認する必要があります。請求書と支払い要求の精査に関して従業員向けに定期的なトレーニングを実施することで、このような不正利用を防ぐことができます。

一般的な ACH の不正利用の手口

不正利用者は、次のような手口を用いて、不正利用に必要なデータにアクセスしたり、オーソリされた当事者に口座からの引き落としを開始させたりする場合があります。また、さまざまなシステム (バンキング、メール、データストレージ) の弱点を悪用して多方面からの攻撃を画策し、企業や銀行の追跡や不正防止をより困難にすることもあります。

データ盗難

不正利用者は、不正取引を開始するのに使用できる顧客情報を傍受または盗みます。これには、企業のデータベースへのハッキング、文書の窃盗などの物理的な盗難、機密データを収集するためのソーシャルエンジニアリング手法などが含まれます。

• 実行: 不正利用者は十分なデータを取得すると、それを使用して ACH の不正取引を開始したり、闇市場でデータを販売したりします。

• 検出と防止: 企業は、機密データを暗号化し、厳格な IT セキュリティ対策を維持し、定期的にセキュリティ監査を実施することで、データ盗難を防ぐことができます。また企業は、物理的な文書を安全に保管および廃棄する必要があります。

フィッシング詐欺

フィッシングとは通常、正当な団体を模倣した偽のメールや Web サイトを通じて、標的を欺いてログイン認証情報や口座番号などの機密情報を開示させることです。

• 実行: 情報を取得すると、不正利用者はその情報を不正アクセスや ACH デビットなどの取引に使用します。

• 検出と防止: フィッシングの試みを識別し、機密情報の要求に信憑性があるかを確認するようユーザーを教育することで、リスクを軽減できます。また、企業は、フィッシングメールを検出してブロックするためのメールフィルターやセキュリティプロトコルの実装を検討する必要もあります。

ビジネスメール詐欺 (BEC)

この巧妙な詐欺では、不正利用者はフィッシングの手口を用いて会社の幹部やベンダーになりすまします。

• 実行: 不正利用者は、財務担当者に対して ACH 決済の口座情報を変更するように指示するメールを偽造または傍受し、これらの支払いを不正利用者が管理する口座に転送したり、不正な口座への送金を開始するように指示したりすることがあります。

• 検出と防止: 別の従業員による二次承認などの確認手順により、この種の不正利用を防ぐことができます。従業員はフィッシングを識別し、メール連絡のみでの決済情報の変更に疑いを持つ必要があります。

インサイダーの脅威

従業員や請負業者などの組織内の個人が、個人的な利益のために特権を悪用する場合があります。

• 実行: インサイダーでは、不正取引を開始したり、口座情報を改ざんして資金を流用したりすることがあります。

• 検出と防止: 定期的な監査、職務の分離、および普段とは異なる行為の監視により、このリスクを軽減することができます。また、セキュリティと倫理的行動の文化を確立することも重要です。

ACH 決済の追跡方法

ACH 決済を追跡すると、資金の未受領、エラー、不正利用の疑いなどの問題の解決に役立ちます。追跡を開始するのが早ければ早いほど、詳細を正確に追跡しやすくなります。

情報の収集

ACH 決済を追跡するには、まず、取引金額、日付、取引 ID または参照番号、送金口座番号と受取口座番号、銀行名など、ACH 取引に関するすべての関連情報を収集します。

銀行への連絡

取引が開始された銀行 (送金者の場合) または資金が送金された銀行 (受取人の場合) に連絡します。緊急の問題については、メールよりも電話の方が効果的です。銀行にすべての取引情報を提供します。

追跡の開始

追跡を正式に要求するために、銀行からフォームの記入を依頼されるでしょう。このフォームは、ACH ネットワークを介して取引に関与する他の銀行に送信され、取引が各銀行で正しく処理されたかどうか、取引の現在のステータス、および不一致やエラーが発生した場所が確認できるようになります。一部の銀行では、追跡サービスに手数料がかかる場合があります。

ACH の追跡が完了するまでに数営業日かかる場合があります。定期的にフォローアップして、追跡の進行状況を確認します。

結果のレビュー

追跡が完了すると、関係する銀行から取引の経路と発生した問題を詳述したレポートを受け取ります。エラーが発生した場合、銀行は取引を再処理するか、口座残高に必要な調整を行うことでエラーを修正します。やり取りと追跡結果はすべて文書化します。この文書は、不審請求の申請の解決に役立ち、法的措置が必要になった場合には証拠になります。

ACH の不正利用の責任

法律は一般的に消費者に有利であり、企業や銀行に対してはより厳しい要件が設定されてはいますが、ACH の不正利用の責任における問題は、各ケースの詳細によって異なります。アメリカの電子資金移転法 (EFTA) などの法律では、口座名義人が規定の期間内に行動している限り、不正な電子取引に対する消費者の責任が大幅に制限されています。企業は、適切な管理を行っていたことを証明できない場合、不正利用の費用を負担するよう求められる可能性があり、銀行は、セキュリティ手順が不十分であると判断された場合、または合意されたプロトコルに従わなかった場合に責任を負う可能性があります。

多くの場合、ACH の不正利用における責任の解決には、影響を受けた当事者間の交渉が必要であり、過失を特定するために法的介入が必要になる場合もあります。強力な防止策を実施し、電子取引を処理するための明確で文書化された手順を維持することで、組織はリスクを軽減し、不正利用が発生した場合の責任を明確にすることができます。

ここでは、不正な引き落とし、BEC、アカウントの乗っ取りなどのよくあるシナリオで、一般的にどのように責任が割り当てられるかについて説明します。

不正な引き落とし

アメリカの EFTA などの規制では、引き落としを示す明細書から 60 日以内に顧客が不正な取引を報告することを条件に、顧客の銀行が顧客に不正な引き落としの払い戻しを行うことが義務付けられています。

ビジネスメール詐欺 (BEC)

BEC の場合、特に従業員に過失があり、社内のセキュリティ手順に従わなかった場合、従業員が不正な送金をオーソリした企業に責任が及ぶことがよくあります。

アカウントの乗っ取り

顧客は通常、アカウントの乗っ取りに起因する不正取引について、適時に銀行に通知した場合、責任を負いません。銀行が合理的なセキュリティ対策を講じなかった場合、銀行が責任を負う場合があります。

データ盗難

企業のデータが侵害された場合、データの保護方法に過失があった場合、企業は責任を問われる可能性があります。過失には、業界のセキュリティ基準に準拠しなかったり、適切な防止措置を講じなかったりすることが含まれます。

フィッシング詐欺

顧客がフィッシング詐欺の被害に遭い、不正取引を適時に報告した場合、通常、銀行がその損失を補填します。顧客に重大な過失 (PIN やパスワードの共有など) があった場合、損失の一部または全部を顧客が負担する場合があります。

インサイダーの脅威

通常、インサイダーが活動する組織は、特に不適切な管理や監視が不正利用を助長した場合、これらの損失に対する責任を負います。場合によっては、銀行が個々の加害者に対して訴訟を起こすことがあります。

ACH カイティング

ACH カイティングの加害者が不正利用の責任を問われる可能性があります。また、適切な監視システムがないことで不審な行為の検出や阻止ができなかった場合、銀行が責任を問われる場合もあります。

偽の支払い

支払いリクエストまたは請求書の真正性を確認しなかった団体は、特にデューデリジェンスを実施しなかった場合、責任が問われる場合があります。銀行は通常、受け取った指示に従って取引を処理した場合、責任を問われません。

ACH の不正検出

ACH の不正利用を検出するには、入念な監視、レビュー、情報の共有が必要です。ここでは、知っておくべきことについて説明します。

取引の監視

確立されたベースラインと履歴パターンに対して ACH 取引を継続的に分析する専用のソフトウェアを実装します。機械学習と人工知能は、自社の代表的な決済行動を学習し、人間が見逃す可能性のある複雑なパターンに基づいて、疑わしい取引にフラグを立てることができます。起こり得る不正利用の兆候を以下に示します。

• 取引に関連する通常とは異なる IP アドレスまたはデバイス

• 過去の平均と比較した取引件数または金額の偏差

• 新しい受取人、特にリスクの高い地域にいる受取人への支払い

• 不定期な取引時間 (標準営業時間外)

• 支払いを早めたり、見慣れない口座に送金したりするよう企業に圧力をかける緊急のリクエスト (即時対応を求めるメールや電話など)

• 支払いリクエスト内の名前、口座番号、またはその他の詳細情報との不一致

審査手続き

• リスクの高い取引の手動精査: 監視ツールがフラグを立てた取引を慎重に調べます。専任のスタッフは、受取人の詳細、支払い履歴、および関連するやり取りに通常とは異なる点がないか確認する必要があります。

• スポット監査: ACH 取引のサブセットに対してランダム監査を実施します。不正利用を発見しなくても、企業が常に取引を綿密に精査していることがわかれば、一部の不正利用者は思いとどまる場合があります。

• ACH 差戻し分析: ACH 差戻しを密接に監視します。差戻し率が高い場合は、不正な引き落としや不正な受取人情報を示している可能性があります。差戻し理由を分析し、パターンを探します。

本人認証 (KYC) の実践

• 顧客の本人確認: 継続支払いを開始したり、新しい受取人を追加したりする前に、デューデリジェンスを実施します。住所と企業の正当性を確認し、制裁リストと不正利用データベースと照合します。

• 関係の監視: 受取人の行動やコミュニケーションスタイルの変化、銀行口座情報の更新などで、アカウントが不正アクセスされている可能性がないかを定期的に確認します。

情報共有

• 銀行との協力: 銀行の不正防止部門とのオープンなコミュニケーションを維持します。新たな不正利用パターンを警告し、協力して調査を行うことができます。

• 業界ネットワーク: 業界団体や不正防止ネットワークに参加します。脅威インテリジェンスとベストプラクティスを共有することで、誰もが不正利用者の一歩先を行くことができます。

不正利用の対応計画

事態が発生するまで待たずに、すべきことを決めておきます。次のステップを含む計画を事前に作成してください。

• 銀行の連絡窓口

• 内部報告と調査の手順

• さらなる被害を軽減するための手順 (口座の凍結、認証情報の変更など)

• 法執行機関の関与の要件

ACH の不正防止

ACH 不正利用は、資金の損失や風評被害など、企業に重大な脅威をもたらします。防御を強化し、ACH の不正利用を防ぐ方法を次に示します。

• 多要素認証 (MFA): すべてのログインと金融取引に MFA を適用します。ユーザー名とパスワードだけでなく、追加の検証手順を要求します。これにより、ログイン認証情報が侵害された場合でも、不正アクセスのリスクが軽減されます。

• プリオーソリ済みの支払い: この ACH デビット検証システムにより、企業は ACH デビットの正当な受取人と金額をプリオーソリすることができます。相違があると、処理前に確認するためのアラートがトリガーされ、不正な引き出しが防止されます。

• スタッフのトレーニング: フィッシングの試み、ソーシャルエンジニアリングの手口、ACH の不正利用に関連する危険信号を識別できるようスタッフをトレーニングします。ACH 取引を処理し、疑わしい行為を報告するための適切な手順について教育します。

• 職務の分離: 支払いの開始、取引の承認、口座の照合などのタスクを異なる従業員が処理するシステムを実装します。これにより、1 人の従業員が不正な目的でシステムを操作するリスクが軽減されます。

• リアルタイム監視: リアルタイムの取引監視ツールを使用して、異常な行為や疑わしい行為を特定し、処理される前に停止します。

• 照合手順: 綿密な照合手順を確立して、予想される支払いと実際の引き落としと入金を比較します。銀行取引明細書を定期的に確認し、不正行為を示す可能性のある不一致を特定します。

• データの暗号化: 口座情報や財務記録など、すべての機密データが保存時および転送時に暗号化されるようにします。これにより、不正利用者がシステムに侵入したとしても、重要な情報を盗むことがはるかに困難になります。

• アクセス制御: 財務データと ACH 処理システムに対する厳格なアクセス制御を導入します。必要な場合のみアクセス権を付与し、定期的なパスワード変更には強力なパスワードポリシーを適用します。

• 不正防止サービス: 高度な脅威インテリジェンスと監視サービスを提供する不正防止専門業者との提携を検討します。このようなサービスは、セキュリティレベルを引き上げ、高度な不正利用の検出に関する専門知識を備えています。

• ACH ネットワークへの参加: ACH ネットワークのリスク軽減イニシアチブに参加します。このようなイニシアチブは、新たな脅威を特定するためのリソースとツール、および ACH の不正使用を抑制するためのベストプラクティスを提供します。