ウイルス感染によるネットバンキング不正送金の被害が増える中、企業での被害も深刻になっている。全国銀行協会が出した「6条件」のセキュリティー対策と、法人を狙う手口について見てみる。
全国銀行協会が企業被害補償に指針
ネットバンキング不正送金の被害は、今年5月の時点で14億1700万円と昨年の被害額を超え、史上最悪となった。特に目立つのは法人向け(企業)ネットバンキングでの被害だ。
警察庁によると全体の被害件数のうち、企業での被害は12%、109件で、昨年の4%から大幅に増えている。また企業での被害額も大きく、今年だけで4億8000万円と全体の33%を占めている。
この状況をふまえ、全国銀行協会では、7月17日に法人向けネットバンキングでの被害補償についての新たな指針を発表した。
今まで個人の被害については、預金保護法に基づき補償を行ってきたが、企業は原則として対象外になっていた。しかし企業での被害が増える中、一定のセキュリティー対策をしていることを条件として、法人のネットバンキングも補償するとの指針を出した。
法人が守るべきネットバンキングのセキュリティー対策は以下の通り。これを実施していない企業は、補償の対象外となる。
★法人が実施すべきセキュリティー対策(全国銀行協会)
1:銀行が導入しているセキュリティー対策の実施
2:インターネット・バンキングに使用するパソコンに関し、基本ソフト(OS)やウェブブラウザー等、インストールされている各種ソフトウェアを最新の状態に更新する
3:パソコンにインストールされている各種ソフトウェアで、メーカーのサポート期限が経過した基本ソフトやウェブブラウザー等の使用を止める
4:パソコンにセキュリティー対策ソフトを導入するとともに、最新の状態に更新したうえで稼動させる
5:インターネット・バンキングに係るパスワードを定期的に変更する
6:銀行が指定した正規の手順以外での電子証明書の利用は止める
同時に、以下の項目も推奨されている。
★法人に推奨するセキュリティー対策
・パソコンの利用目的として、インターネット接続時の利用はインターネット・バンキングに限定する
・パソコンや無線LANのルーター等について、未利用時は可能な限り電源を切断する
・取引の申請者と承認者とで異なるパソコンを利用する
・振込・払戻し等の限度額を必要な範囲内でできるだけ低く設定する
・不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認する
特に「ネットバンキングのみに利用するパソコンを用意する」「取引の申請者と承認者を別にする」「取引履歴を確認する」は、重要な点だと言えるだろう。企業の被害を防ぐには、上記の実施すべき対策と推奨する対策は、どちらも守ることが大切だ。補償されるかどうかのポイントともなるので、改めてチェックするべきだろう。
日本を狙うオンライン銀行詐欺ツール
ネットバンキング被害について、セキュリティー大手・トレンドマイクロが「金融関連サイバー犯罪解説セミナー」を7月10日に開催した。セミナーを行ったトレンドマイクロのシニアスペシャリスト・岡本勝之氏によると、日本でのオンライン銀行詐欺ツールの被害が急拡大しているとのことだ。
記事冒頭の表はオンライン銀行詐欺ツールの検出数の割合を、国ごとにまとめたものだ(トレンドマイクロによる)。昨年前半での日本の割合は3~4%程度だったが、2013年第4四半期には19%と急増。2014年第1四半期は10%と落ち着いたものの、アメリカについで世界2位となっている。日本の銀行が狙われているのだ。
オンライン銀行詐欺ツールは、感染したパソコンに潜伏した状態で、ネットバンキングへのアクセスを待つ。正規のサイトにアクセスした時点で、ウェブサイトの内容を書き換えて、暗証番号などを盗み取る手口だ。岡本氏によれば、ワンタイムパスワードを盗み取るもの(自動化ツールによる)の被害が確認されているほか、クレジットカード情報も盗み取るVAWTRAK(ボートラック)の被害も増えているとのことだ。
ここで問題となるのは、企業での被害だ。岡本氏によれば、法人ユーザーを狙う新たなオンライン銀行詐欺ツールがみつかっているとのことだ。企業ではネットバンキングを安全に利用するために電子証明書(SSL/TLSクライアント認証)で認証しているが、犯人はその電子証明書自体を盗みとって不正送金に使ってしまう。
その手口が右の図で、企業のネットバンキングで使われる電子証明書を、二つの方法で窃取して不正送金に利用している。
1:パソコン内の電子証明書と秘密鍵をすべてエクスポートしてファイルに保存し、攻撃者サーバへ送信する
→電子証明書が「エクスポート可」で「秘密キーの保護なし」だった場合の手口。犯人は秘密鍵を入手してなりすまし、不正送金を行う
2:電子証明書と秘密鍵をいったん削除し、新たな電子証明書が再発行されたタイミングでコピーを保存し攻撃者サーバへ送信する
→1の方法で窃取できない場合、犯人は電子証明書自体を削除してしまう。企業では不審に思いながらも再発行を依頼。このタイミングを狙って電子証明書を窃取する
電子証明書すらも盗み取る巧妙な手口だ。トレンドマイクロによれば「ZBOTファミリー、VAWTRAKファミリーの一部はこの電子証明書を盗む機能を持っていることが、トレンドマイクロの調査解析により確認されている」とのことだ。
企業を狙う手口が巧妙化
このようにネットバンキングで企業を狙う手口が巧妙化しており、さらに被害が拡大する可能性が高い。企業のネットバンキング担当者は、今すぐ対策を厳重に行うべきだ。
同様に個人でも、改めてネットバンキング不正送金の被害に遭わないように注意したい。
ネットバンキング詐欺のウイルスは一般サイトの閲覧でも感染する。企業などのウェブサイトが改ざんされて、ネットバンキング詐欺のウイルスに感染させようとするからだ。
ユーザーの対策が甘い場合、改ざんされた一般サイトを閲覧するだけでウイルスに感染し、その後にネットバンキングを利用した際にネットバンキングからお金を盗み取られるという被害に発展する。このような被害に遭わないために、以下の対策を守ってほしい。
各種ソフトウェアを最新にする
OS、ブラウザー、Adobe Flash Player、Java、PDFなどのソフトウェアを自動更新に設定。常に最新のバージョンを使う。
ウイルス対策ソフトを必ず導入
ウイルス対策ソフトは、WindowsだけでなくMacでも必ず入れて欲しい。怪しい動きを検知する「ふるまい検知」、不正な動きをするサイトをシャットアウトする「Webレピュテーション(ブラックリスト機能)」があるソフトを勧めたい。
ネットバンキングで「パスワード全入力」は詐欺
ネットバンキングでパスワードや秘密の質問をすべて入力させるのは詐欺。そのような画面が出た場合、ウイルス感染の可能性が大なので、すぐにウイルス対策ソフトでチェックしよう。
この三つは、ネット利用をする人すべてが実行し覚えておくべきこと。今すぐ実行して、ネットバンキング不正送金の被害に遭わないようにしよう。
出典元はコチラ
