シティバンクのセキュリティが甘くハッキングでお金を盗まれている上に補償もしていないとして州司法長官が提訴

ニューヨーク州のレティシア・ジェームズ司法長官が、オンラインバンキングの口座乗っ取りを防ぐような保護措置を実装しなかった上に、お金を盗み取られた顧客への補償を拒否したとして、シティバンクを提訴しました。

Attorney General James Sues Citibank for Failing to Protect and Reimburse Victims of Electronic Fraud
https://ag.ny.gov/press-release/2024/attorney-general-james-sues-citibank-failing-protect-and-reimburse-victims

Citibank sued over failure to defend customers against hacks, fraud
https://www.bleepingcomputer.com/news/technology/citibank-sued-over-failure-to-defend-customers-against-hacks-fraud/

ニューヨーク州司法長官事務所は、顧客が預金を盗まれ、事例によっては全財産を失っているにもかかわらず、シティバンクが不正行為に対して適切かつ迅速に対応していないと指摘し、シティバンクが顧客を保護しなかった責任を追及。詐欺に遭った顧客に利子をつけて返済した上で、罰金を支払い、詐欺防止策を強化することを求めています。

ジェームズ司法長官は「銀行はお金を保管する最も安全な場所であるはずなのに、シティバンクの怠慢により、詐欺師は勤勉な人々から数百万ドル(数億円)を盗みました。多くのニューヨーカーは、請求書の支払いや人生の節目のための貯蓄をオンラインバンキングに頼っています。顧客の口座を守れないのでは、銀行は最も基本的な義務を果たしていないことになります。シティバンクが、顧客の口座から何百万ドル(数百万円)も盗まれないよう保護していなかったという点に弁解の余地はなく、司法長官事務所として、大手銀行の違法行為を見過ごすつもりはありません」と述べました。

ニューヨーク州司法長官事務所の調査によると、シティバンクは、認識できないデバイスを使用する攻撃者や、新しい場所からアクセスしてくる攻撃者だけでなく、顧客が認証情報を変更しようとする場合にも適切に対応できていなかったとのこと。

また、複数の口座から1つの口座に送金する試みへの対策も行っておらず、悪意のある攻撃者がわずか数分で、被害者の口座から数万ドルを送金することが可能になっていました。

さらに、顧客から報告があってもシティバンクは調査を行わず、法執行機関への報告もしなかった疑いが浮上しています。

加えて、口座を乗っ取られた顧客に対し「預金は安全」と誤認させ、盗まれたお金の返還を約束する一方で、被害の詳細を記述した特別宣誓供述書を作成させ、この供述書を償還請求の拒否に利用していたとのことです。

シティバンクは以下のような声明を発表しています。

「シティは、電信送金に関するすべての法令を順守し、お客様に影響を及ぼす脅威を防ぎ、可能な限り損失を回復できるよう支援するため、最大限の努力を行っています。銀行は、顧客が犯罪者の指示に従っていてだまされている形跡がみられない場合、損失を補償する義務はありません。しかしここ数年、電信詐欺が業界全体で急増していることから、当行では先進的セキュリティプロトコルや直感的な詐欺防止ツール、最新の詐欺に関する明確な洞察、顧客の意識向上と啓発により、顧客の口座を保護するため積極的な措置を講じてきました。当行の取り組みにより、電信詐欺によるお客様の損失は大幅に減少しました。今後も、新たな脅威からお客様の口座を守るため、詐欺防止対策への投資に取り組んでいきます」