【歴史に残るバグ】銀行を欺く? 「塵も積もれば山となる」サラミ法とは?

最終更新日時:2021.07.07 (公開日:2021.07.07)
【歴史に残るバグ】銀行を欺く? 「塵も積もれば山となる」サラミ法とは?

今回は、銀行などを舞台にして発生するオンライン詐欺に関連した歴史に残るバグ「サラミ法」をご紹介します(ここでは、「バグ」の意味を広く、コンピュータのプログラムにひそむ誤りや運用上のミス等まで広げて使用しています)。「サラミ法」を、ご存知の方もそうでない方も、ちょっとした話題にしていただけたらと思います。「サラミ法」の解説に入る前に、実際にあった事件の事例から見ていきましょう。

「銀行」が狙われている!

「好きな人のためにやりました」

1981(昭和56)年3月25日、関西の大手都市銀行支店で、犯人の一人である女子行員がオンライン端末を操作して、1億8千万円を不正送金する詐欺事件が発生しました。コンピュータのオンラインシステムを悪用した詐欺事件としてセンセーショナルに報道され、模倣犯罪が急増したこともあって、1987(昭和62)年に「電子計算機使用詐欺罪(刑法246条の2)」が新設されています。

このとき、女子行員が海外でマスコミのインタビューに答え、「好きな人のためにやりました」と話したことから、このセリフは当時、一大流行語になりました。

手口は、あらかじめ開設しておいた架空口座4つに分けてお金を振り込み、現金と小切手を引き出して、海外逃亡するというものです。ポイントとなるのは「3月25日」。年度末の決算処理と給与振込日が重なっていて、おそらく銀行が1年で最も忙しく、チェックが甘くなる日が決行日に選ばれています。繁忙期という人間の心理的な隙を突く、今でいうソーシャルエンジニアリング的な手法が使われていたのです。

塵も積もれば山となる

日本で大手都市銀行オンライン詐欺事件が大きな話題となった直後、フィクションですが1983年に公開された映画『スーパーマンIII/電子の要塞』には、上とは別の手口の銀行を狙ったオンライン詐欺が登場します。

この映画に登場するプログラマーは、入社した企業で社員の給与の小数点以下の端数が集計されていないことを知り、この給料の端数を自分の口座に振り込ませるプログラムを組み、大金を手にするのです。

実はこの話、元となったコンピュータ犯罪がいくつかあるといわれています。その一つが、1960年代後半に、アメリカ・ニューヨークの銀行で、1セント未満の端数処理を「四捨五入」から「切り捨て」にプログラムを変更して、切り捨てた金額を自分の口座に振り込ませた事件です。まさに「塵も積もれば山となる」という話です。

この手口のことを「サラミ法(salami slicing)」または「サラミテクニック(salami technique)」「サラミ攻撃」といいます。未だ現役の「歴史に残るバグ」です。

銀行は、サラミ法をはじめとする手口やソーシャルエンジニアリングによって、今も(!?)狙われ続けているといってよいでしょう。

コンピュータは「サラミ攻撃」が得意

なぜ 「サラミ」??

「サラミ法」「サラミテクニック」を、ここではサラミ法としてお話ししていきます。サラミ法とは、詐欺などの不正が発覚しないレベルで少しずつお金や物を盗っていくテクニックのことをいいます。

サラミソーセージを1本丸ごと盗ると、すぐにバレますが、スライスしてあるサラミソーセージを少しずつ盗っていくと、なかなか発覚しないことから「サラミ」といわれるようになったようです。IT用語としてサラミ法が使われるときは、さきほどの『スーパーマンIII/電子の要塞』の事例のように、多くの銀行口座などから少額の金銭や利息の小数点以下の端数となる金銭を盗む行為を指しています。

サラミ法がやっかいなのは、その「元ネタ」となる抜け穴となる問題点がプログラムに留まらないことです。業務処理フローやちょっとした確認ミスといった、"抜け道"が広がって大きなダメージを生んでしまいます。

2008年の海外の事例では、オンライン証券会社から1度に数セント振り込まれる確認預金(振込)を集めて多くの金銭を得るため、6万ほど口座を不正作成した犯人が逮捕されています。

見方を変えると、犯人にとっても時間と手間がかかり、銀行としても事前対策にコストをかけにくいという、双方にとって「割に合わない」ケースともいえます。

コンピュータと「ブラック」の相性

サラミ法による詐欺は、犯人にしても守る側としても実は「割りに合わない」ことがあるのですが、今後、このようなサラミ法による犯罪は、ソーシャルエンジニアリングと組み合わされて、増加していくのかもしれません。

なぜかというと、オンライン犯罪では主にコンピュータが用いられることになるからです。コンピュータはこのような、少しずつ何度もくり返す、人間ならば集中力が切れてイヤになってしまうような、いわば「ブラック」な作業が得意で、自動的な攻撃に向いています。犯人の手間をコンピュータが軽減してしまうのです。また、デジタルトランスフォーメーション(DX)などで、電子商取引が増え、キャッシュレス化も進み、仮想通貨の利用も増えると予測され、この点も、サラミ法による犯罪の増加が懸念される理由の一つでしょう。

今後は、1枚1枚のサラミをバレないように極限まで薄くし、さらに1回ごとの変更などの動きを最小にすることで、詐欺を試みる不届き者が現れないことを祈りたいです。

余談ですが、コンピュータと「ブラック」な環境の相性の良さには、気をつけておくべきです。DXが進むと、プログラマーや技術者でなくても、ブラックな仕事を人間がさせられてしまう可能性が高まります。ブラックな仕事はコンピュータに任せて、人間は別なことに頭を使うようにしていきたいですね。

あのアニメ、ドラマ、映画にも登場

サラミ法やソーシャルエンジニアリングを使ったオンライン犯罪、コンピュータ犯罪は映画やテレビドラマの題材としてもよく使われています。

日本でも1980年代に事例が多いのは、先ほどお伝えした大手都市銀行オンライン詐欺事件によってコンピュータ犯罪への関心が高まっていたという背景があります。

少しだけ、事例を紹介しましょう。

・アニメ『攻殻機動隊 S.A.C. 2nd GIG』第20話「北端の混迷 FABRICATE FOG」(2004)

・ドラマ『太陽に吠えろ』第644話「七曲署全員出動・狙われたコンピューター」(1985)

・ドラマ『ペリーメイソン』「殺害されたマダムの事件」(1987)

・映画『スーパーマンIII/電子の要塞』(1983)

・映画『カオス』(2006)

21世紀になっても......「サラミ」!

あちこちで事件

サラミ法を用いた犯罪の報道は、「俺アタマいい」と閃いてしまう不届き者が多いせいなのか、今になっても後を絶ちません。いくつか事例をみてみます。

1993年には、アメリカのレンタカーフランチャイズ幹部4名が、47,000人の顧客から金銭をだまし取ったとして起訴されています。1998年、同じくアメリカで、ガソリンポンプにガソリン量を水増し表示するコンピュータチップが取り付けられる詐欺事件が発覚しています。

政治の世界で「サラミ」

実は、政治用語としても「サラミ戦術」としてサラミは用いられています。1940年代後半にハンガリーの政治家が「(敵を)サラミをスライスするように殲滅する」発言したと記録にあります。別の意味として、交渉対象となる材料をできるだけ薄く、小さくすることで最小限のパフォーマンスで時間稼ぎをしたり、相手から対価などを求めて効果を得ようとしたりする戦略のことを「サラミ戦術」ということがあります。

雑な言い方ですが「取るに足らない小さなこと」をくり返し提示して相手を疲れさせ、利益を得ようとする作戦のことで、後者の方が、IT的な「サラミ法」に意味が近いかもしれません。

意外な「事実」

さて、ここで話は映画『スーパーマンIII/電子の要塞』の元ネタといわれる、1960年代後半のアメリカ・ニューヨークの銀行で、1セント未満の金額を切り捨てたて、自分の口座に振り込ませた事件に戻ります。

この事件、サラミ法に関するサイトでくり返し紹介される有名な事件ですが、「誰が」「どの銀行」で行ったものか、いくら検索してもさっぱり分かりません。

そこで書籍にあたってみると、日本では1977年初版の『コンピュータ犯罪』(ドン・B・パーカー著/羽田三郎・訳:秀潤社)に意外な記述がありました。該当箇所を引用します。

「最も古い報道例の一つは、1968年ウォール・ストリート・ジャーナルの第一面に出た。この方法を用いた数例が記録されてはいるが、どれも未確認である。多分神話か作り話の領域の入るのであろうが(以下略)」(第2刷140頁)

著者のドン・B・パーカー氏はスタンフォード研究所情報科学研究室の上席情報処理分析員などを務めた人物だけに、この事例が神話である可能性があるように思われます。いわば、逆サラミ現象といる「ウソも100回いえば真実になる」ことだったのでしょうか? 謎が深まってしまったのでした。

今なら、どう防ぐ?

サラミ法による攻撃はどうやって防げばよいのでしょうか?

金銭に関するものは、設計構築時に端数を常に考慮に入れて、端数処理を行う際には細心の注意を払い、綿密なテストをくり返すことが重要であるようです。端数処理は「盲点」と指摘されることが多いのですが、小数点未満を格納する変数が用意されていないこともあるので、状況はまちまちであると思われます。

事後の発見は、オンライン詐欺については、容疑者の銀行口座を調べることが考えられます。一気に残高が増えた人が犯人......のはずですが、そんな単純には見つけられないような気もします。

サラミ法を「切り捨て詐欺」と見なすと、この詐欺手法自体はコンピュータ登場以前からあるもので、この手の詐欺を事後に見つけるのは、かなりの手間がかかるとされています。事前の設計、業務フローの構築の段階から対策をしっかり行っておきたいものですね。

執筆者:Qbook編集部

ライター

バルテス株式会社 Qbook編集部。 ソフトウェアテストや品質向上に関する記事を執筆しています。