高信頼性を喧伝されていたインターネットバンキングでさえ、パスワードの窃取による、不正送金事件が横行しているなど、もはや旧来のIDとパスワードによる認証は限界に達したとの指摘がある。そこで今回のセミナーは「いま求められる認証の改革」を基軸に、企業が自社システムやエンドユーザのデータやさまざまな資産を、どのように防衛していくべきなのか、識者の講演やベンダーによるソリューション紹介を通じ、考察した。
基調講演には、「不正ログイン・不正利用」の脅威と本人認証の実態を踏まえた取るべき対策」と題し、独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 主任研究員の渡辺貴仁氏が登壇、不正送金のID・パスワード窃取について解説するとともに、本人認証に関するサービス提供側や利用者側の実態調査結果を踏まえ、課題や現実的な対策について提言した。
IPAでは、以下の通り、2014年版 情報セキュリティ10大脅威を発表している。
情報処理推進機構 渡辺貴仁氏
これらのうち、2位の「不正ログイン・不正利用」で、特に気を付けるべき項目として、不正に入手したID/パスワードリストを使用する「パスワードリスト攻撃」が挙げられた。ネットサービスのユーザーが、複数のサービスで、同一のID/パスワードを使いまわしている場合、攻撃者が、あるサービスのユーザーのID/PWを不正取得すると、それを他のサービスでも不正使用するという行動を繰り返し、パスワードをリスト化し、特定ユーザーのアカウントでの不正アクセス、成りすましなどの犯行に及ぶという手口だ。
クレジットカード会社、ショッピングサイトなど幅広く狙われており、不正ログイン成立率は0%台と低いものの、成功試行件数の0.15%にあたる23,926件で不正ログインが成立している。渡辺貴仁氏は「利用権者のパスワード設定、管理の甘さに付け込まれている」と話す。
最近のサイバー攻撃に対処する策として、渡辺氏は、IDやパスワードをどうすべきか、以下のように説明する。IDは、選択が可能であれば、メールアドレスは使わず、パスワードは、長い文字列、英数字、大文字、小文字、記号などを混ぜること。次に、使い回しを回避するため、複数のID、パスワードを設定する場合、電子ファイルや、提供者の信頼性が高い、パスワード管理ソフトを用いること。さらに、不正ログインを察知、あるいは、防止するため、ログイン通知、ログイン履歴確認、二段階認証、ワンタイムパスワードなどは有効であるとする。
格好の標的になっている日本のネットバンキング
警察庁
小竹一則 警視
特別講演では、警察庁 生活安全局情報技術犯罪対策課 課長補佐の小竹一則 警視が、「インターネットバンキングに係る不正送金事犯の現状と対策について~いま危機に瀕する日本のネットバンキング--最前線の捜査現場から緊急提言~」との表題で、ネットバンキングを標的とした、事犯の発生状況、その特徴を解説し、被害が多発する要因に目を向けながら、被害を未然防止するためにどのような対策が必要なのか考察を加えた。
ネットバンキングを狙った不正送金事犯は2013年、32金融機関で1315件が発生した。被害総額は過去最多となる、約14億600万円だった。今年は上半期に73金融機関で1254件が発生、被害額は約18億5200万円に上っており、半年で2013年の年間被害額を超えてしまった。(出典:警察庁) 1件当たりの被害額が大きなる傾向にあるが、これは、法人の口座が攻撃される例が増えているからだ。
押収された現金
警察庁によれば、今年上半期に69事件で133人を検挙し、このうちの6割を超える83人が中国人であるとしている。不正送金で目立つようになっているのは、「出し子(だしこ)」と呼ばれる者たちが増えていることだ。彼らは、ネットバンキングを悪用して、詐取した金銭をATMを通じて引き出し、犯行グループに渡しており、この場合銀行に設置されているのではなく、コンビニエンスストアにあるATMが多用されるのだという。出し子による不正出金は、件数ベースで全体の64.9%を占める。
このようなサイバー犯罪は、いっそう組織化される傾向にあるという。こうした犯罪の被疑者は、ネットバンキングユーザーに何らかの方法でウイルスを送り、感染した端末でネットバンキングの利用画面にアクセスすると、偽装されたポップアップ画面が開き、暗証番号などの入力項目が普段より増えるのだという。彼らは、この種の手口によりID、パスワードを詐取し、第3者のパソコンを踏み台に用い、金融機関のシステムに不正アクセスし、外国人名義の口座などに不正送金。現金をATMから引き出す――といった流れになる。
新たな脅威MITB
新たな脅威として警戒されているのは、MITB(Man in the Browser)と呼ばれる攻撃だ。マルウェア使用する従来型の攻撃の場合、ユーザーの端末がマルウェアに感染すると、そこに保存されているオンラインバンクのログイン情報などをマルウェアに盗まれ、攻撃者のサーバへ送信されてしまうわけだが、MITB攻撃は、ユーザーのオンラインバンクへのログインが成功すると、マルウェアが、侵入した端末上のブラウザを乗っ取り、正当なセッションに不正操作を紛れ込ませる。例えば、ユーザーが送金手続きしている時点で、その送金先を攻撃者が指定した口座に変更するといった攻撃となる。ユーザ認証が成功した後に、通信を乗っ取るため、通信の暗号化、乱数表、ワンタイムパスワードでも被害を免れるのは困難だといわれる。
MITBへの対策として金融機関が実行するものは、ワンタイムパスワードを用いる場合、送金先の情報を利用する形式のものを選ぶ。また、パソコンを通じた認証(第1経路)と、携帯電話などを介した認証(第2経路)を組み合わせた、二経路認証システムの導入。あるいは、事前登録送金先以外への、受付日当日送金の制限--などがあるという。
小竹氏は「インターネットの普及が大きく進展しているなか、ネット社会に潜む危険性を理解してほしい。ネットバンキングは、ユーザー側も自衛対策を考えるべき」と語り、サイバー攻撃の新たな「発展」についての注意喚起を呼び掛けた。
なお、ZDNet Japanでは、来る11月6日にもセキュリティをテーマにしたセミナーを開催する。本記事で取り上げた認証の問題のほか、より悪質化する標的型攻撃、昨今では悪意ある内部者による反抗のリスク、さらには従業員のシャドーITの一般化など、いまやセキュリティにおいて考慮すべき範囲は従来から大きく広がり、全方位的なセキュリティ投資はもはや困難となっている。こうした状況下で取るべきセキュリティ戦略の考え方を紹介する内容だ。
基調講演を担当するのはプライスウォーターハウスクーパース(PwC)の山本直樹氏。経営層を巻き込んだセキュリティ対策の再構築を提言する。ポイントは、自社の業務範囲を詳細に棚卸し、重点強化すべきセキュリティ課題を明確にすることだ。
特別講演は、経済産業省情報セキュリティ監査研究会委員やIPA研究員などを兼任するディアイティの河野省二氏。情報セキュリティ事故の発生にいち早く気づき、被害を最小限にするためのガバナンスの構築方法、「業務に則したセキュリティ対策」を解説する。セキュリティの動向をつかみ、施策を打とうとしている企業担当者にとって必見の内容と言える。
