ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

不正送金がますます巧妙な手口で拡大中な件

2014.05.20

ネットバンキングを対象とした不正送金の手口がどんどん巧妙化し、通常に対策ではなかなか完全には防げなくなっている状況で、どう対応するべきなのか検討する必要がありそうです。

山本一郎です。今朝歯を磨き損ねて口腔内細菌が拡大中です。やっぱ寝る前だけだと怖い…。

ところで、ネットバンキングに関連した不正送金被害のニュースがもはや日常茶飯事となって久しい今日この頃ですが、また新たなタイプの不正送金事件が起きてしまいました。

三井住友銀、新手のネット不正送金被害を発表(日本経済新聞 2014/5/12)
ネットバンキング入力と同時に不正送金新種ウイルス確認三井住友銀、数十件被害(MSN産経ニュース 2014/5/12)
ネットバンキング被害に新手口(NHKニュース 2014/5/12)

新たなウイルスを使った手口は、利用者が何らかの形でウイルスに感染したパソコンを使ってインターネットバンキング「SMBCダイレクト」にログインすると偽画面が表示される。その際、犯罪組織側への振込先口座や金額も自動的に設定される。その上で、利用者が暗証番号を入力すると不正取引が実行される仕組み。従来は犯罪組織などがメールで利用者を偽サイトに誘導し、IDやパスワードを入力させる「フィッシング」と呼ばれる手法が主流だった。日本経済新聞
パスワードを入力しただけで、自動的に別の口座に現金が送金される仕組みになっていた。MSN産経ニュース
「三井住友銀行」によりますと、ことし3月以降、利用者がニセの画面に誤ってパスワードを入力した瞬間に、預金を奪うという新たな手口による被害が、相次いでいるということです。(中略)パスワードを入力した直後に預金を奪われる被害は、ほかの大手銀行でも確認されており、銀行側では、ウイルス対策を徹底するとともに、パスワードの入力は、最後に取引内容を確認する時にしか求められないため、画面を開いてすぐに入力しないよう注意を呼びかけています。NHKニュース
これまでの国内における不正送金事件では、偽サイトへ誘導してそこからIDやパスワードを盗み取った後に口座から不正送金が実行されるというやや遠回りな手法が使われていましたが、今回は、正規のネットバンキングサイトへログインした後に偽の画面が表示される形ですぐに不正送金が実行されてしまうということで、手口がどんどん巧妙になっていることが分かります。しかも、NHKニュースによれば、こうした手口は他の銀行を対象にした事件でも同様に起きているようです。

また、これまでは比較的安全と考えられていたワンタイムパスワード方式でも被害が発生してしまった点も気になるところです。

いずれにしても、こうした不正送金の被害が発生しているPCはマルウェアに感染した結果起きていることが判明していますから、ネットバンキングに利用するPCではマルウェアに感染するようなおそれのあるサイトへはアクセスしないことにした上で、さらにウイルス対策ソフトなどを導入して危険に備えるといった予防策を実施するしかありません。

しかも残念なことに、最近はマルウェアに感染するきっかけが怪しいサイトへのアクセスとは限らないとう点でして、どちらかと言えば真っ当な企業や団体が運用するサイトが改ざんされてそこでマルウェアが仕込まれてしまうという例が増えています。つい先日も、日本バスケットボール協会の公式サイトが改竄され、マルウェアが仕込まれていた期間に約5万5000件のアクセスがあったとされています。

バスケ協会サイト改ざん関係者情報狙いか(日刊スポーツ 2014/5/9)

サイトは2月19日に不正なアクセスを受け、いったん修復される27日まで約5万5000件のアクセスがあった。その後再び改ざんされたが、現在は問題ない状態という。2014/5/9
この日本バスケットボール協会公式サイト改竄の場合、不正アクセスがあったという事実自体がずいぶん長い間発表されずにいたりとその対応もかなり怪しく、非常に残念な感じになっています。

こうなってくると、もはやネットバンキングに使うPCは専用にして、他のサイトにはアクセスしないくらいの徹底した防衛策が必要となるのかもしれません。

なお、当初は不正送金についての補償が認められていなかった法人向けサービスでも、そのあまりの被害の多さから対応をするかどうかで銀行業界が揺れているようです。

急速に広がる法人のネット不正送金被害、補償に揺れる銀行界(ロイター 2014/5/12)

金融界全体として法人被害に対する方向性は決まっていないのが実情だ。全銀協などは対応を検討しているが「法人の経理部や財務部は、その道のプロであるべき。安易に補償対応すれば、モラルハザードにならないか」(大手行幹部)との考えもあり、対応は揺れている。

一方、りそな銀行などは法人顧客が適切な措置を講じていることを前提に最大5000万円を補償している。三菱東京UFJ銀行なども、補償のあり方について検討を始めている。ロイター
仮に「適切な措置を講じている」ことで補償されるとしても、一体何をもってして「適切な措置」と判断されるのかも微妙な話であるように感じなくもありません。「その道のプロ」にとっても色々とむつかしい時代になってきましたね。

なお、これらの金融機関やクレジットカード決済を対象にした不正送金のシンジケートが中国、ロシア、アフリカ諸国に点在しているとのことで、そろそろ国単位の対応ではなく包括的な対応が求められる局面に入ったと言えましょう。

そうすると騒ぐのは個人情報保護法改正で適切な規制を敷くことにすら反対する不思議な人たちがいることなんですが、まあその辺はうまく誰かが蹂躙してくれることでしょう。