サラミ法

コンピュータ犯罪のサラミ法をわかりやすく解説

本記事では、コンピュータ犯罪である「サラミ法」を解説します。サラミ法とはどのような手口であり、なぜ「サラミ」という名前が付けられているのか、そしてこのような犯罪を犯してしまわないようにするための対策をご紹介します。

目次

サラミ法とは

まず始めに、サラミ法の定義とその名前の由来について説明します。

サラミ法の定義

コンピュータ犯罪におけるサラミ法とは、小さな不正行為を繰り返して大きな利益を得る手法を指します。この手法は、1回の取引で得られる金額が非常に小さいため、検出が難しくなるという特徴があります。サラミ法は、銀行や金融機関などでコンピュータシステムを悪用して行われることが多いです。

サラミ法という名前の由来

ここでは、サラミを売っている精肉店で働いている従業員を例にあげて説明します。ある日このお店は、10本のサラミを製造し、5本のサラミが売れたため残り5本となるべきところ、在庫を確認すると4本しか残っていませんでした。実際、こちらで働いている従業員が1本盗んだため、残りが4本になるのは当然でした。このお店で働いているのは店長とその従業員1人だけであったため、この状況では、従業員を疑わざるを得ません。このようにサラミを丸ごと盗んでしまうと、当然すぐにばれてしまうでしょう。しかし、そのお店が1本丸ごとではなく、スライスして売っていたとしたらどうでしょうか。従業員がバレないように毎日2、3枚スライスして食べていたとしたら、なかなか気付かれないのではないでしょうか。

 

このことから、気付かれないほどの小さな不正を繰り返すことで長期的に大きな利益を得る手法を「サラミ法」と呼ぶようになったわけです。

サラミ法の実例

サラミ法の一般的な例としては、「端数切り捨て詐欺」があります。この方法では、銀行取引や金融取引の端数を切り捨てる際、その端数を不正に自分の口座に振り込むことで利益を得ます。例えば、1取引あたり1セントの端数が発生するとして、これを何万回も繰り返すことで大きな金額が蓄積されることになります。

 

サラミ法の実例として、以下のようなものがあります。

・銀行の預金利息において1円や1セント未満の端数を四捨五入するのではなく、切り捨て、切り捨てられた分の金額を全て自分の口座に振り込まれるように改ざんした例があります。

 

・スキミングなどで個人情報を不正に取得し、他人のキャッシュカードを複製し、その人の銀行口座から気付かれない程度の金額を毎月下していた例があります。

 

このような犯罪は、個々の取引での損失が小さいため、被害者が気づかないことが多く、犯罪者が長期間にわたって利益を得ることができます。しかし、最近では銀行や金融機関が不正行為を検出する技術が向上しており、サラミ法による犯罪を見つけ出すことが徐々に容易になってきています。

意図しないサラミ法を避けるためには

意図せずサラミ法を犯さないために、企業は以下のような対策を講じることが重要です。

プロセスとポリシーの確立

企業は、取引や資金管理に関する明確なプロセスとポリシーを策定し、従業員に周知する必要があります。これにより、従業員が誤って不正な行為を行うリスクを減らすことができます。

監査と監視

定期的な内部監査と外部監査を実施し、企業の財務状況と取引記録を確認します。また、システムのアクセスログや取引履歴を監視することで、不正行為の兆候を早期に検出できます。

権限の制限とセグメンテーション

従業員に与える権限を最小限にし、業務を適切に分割して、特定の個人が多くの権限を持つことを避けます。これにより、不正行為を行う機会を減らすことができます。

透明性の確保

企業の取引や資金管理に関する情報を透明化し、従業員が疑問を持った場合に報告できる仕組みを整えます。これにより、不正行為を防ぐ文化を醸成し、問題が発生した際に迅速に対応できる環境を整えます。

これらの対策を実施することで、企業は意図せずサラミ法を犯すリスクを大幅に軽減できます。また、これらの対策は、他の不正行為や犯罪から企業を守る役割も果たすでしょう。

まとめ

本記事では、非常に悪質なコンピュータ犯罪であるサラミ法について解説しました。サラミ法とは、気付かれない程度の小さな不正行為を繰り返すことで長期的に大きな利益を得る手口です。この手法は、1回の取引で得られる金額が非常に小さいため、検出が難しく、銀行や金融機関などで悪用されることがありました。特にお金を扱う企業においては、最後にご紹介した対策を講じることでサラミ法を避けるようにしましょう。


本記事の読者の中で、24時間365日体制でシステムの不正検知を実施してくれるソリューションをお探しの企業様は、是非CMC Japanにご相談ください。弊社のネットワークセキュリティセンターは、人工知能や機械学習などの先進的なセキュリティソリューションを 統合し、お客様のネットワークシステムおよびアプリケーションを24時間365日監視します。万が一、バグやインシデントが発生した場合は、即座に対応することが可能です。お気軽にお問い合わせください。

>> セキュリティソリューションに関する無料相談はこちら