前回はインターネットバンキングにおける被害と各金融機関が取っている対策について、海外と日本の状況を紹介したが、今回は攻撃者側にフォーカスし、彼らがどんな手口で窃盗におよんでいるかを紹介したい。
過去の攻撃例と現在のトレンド
インターネットバンキングの古典的かつ代表的な攻撃手法といえば、まず名前が挙がるのがフィッシングメールだ。あたかも銀行からのメールであるかのように詐称されたアドレスや文面に今も少なくないユーザーがだまされ、フィッシングサイトに誘導される。
フィッシングサイトもまた、銀行の正規のサイトそっくりに作られており、フィッシングメールで釣られたユーザーは特に疑いを抱くこともなく、契約者IDやパスワードなど重要な情報を無防備に入力してしまう。すでに今年に入ってからも三菱東京UFJ銀行などいくつかの金融機関から被害が報告されており、まだ当面は王道の攻撃手法であり続けるだろう。
だが、フィッシングメールに関してはその存在がかなり一般社会に浸透しており、多くのユーザーが「インターネットバンキングは、そういう攻撃(フィッシング)から狙われやすい」という認識をもっている。したがって、今後はフィッシングによる攻撃に歯止めがかかる可能性は少なくない。
しかし残念なことに、攻撃者たちの手口はフィッシングだけではない。現在はより巧妙で洗練された手口の攻撃が急速に増えており、特にマルウェアによる高度化されたサイバー攻撃の被害が拡大する傾向にある。その理由として
- マルウェア作成における手間とコストの低下
- 日本語を言語障壁としないマルウェアの登場
- 国内金融機関のサイバー攻撃への対策の遅れ
といった要素が挙げられる。それほどテクニカルな知識をもっていなくともマルウェアが安く簡単に入手できるようになったことに加え、日本語という特殊な環境に守られていた期間が長い国内金融機関はマルウェアの脅威をかなり甘く見ていた節は否めない。したがってセキュリティへの投資意欲も低く、アジア諸国の中でも相当に低いセキュリティレベルの環境となってしまった。
マルウェアに対する認識の甘さがそのままサイバー攻撃への対策の遅れとなり現在、日本のインターネットバンキングは攻撃者たちにとって格好の標的になっているのだ。以前は海外で発生した攻撃が日本にも波及するまでにはかなりの時間を要したが、いまではほとんど時差はなく、ほぼ世界同時に発生している状況だ。
日本では金融犯罪というと、年間375億円を超える被害が発生している振り込め詐欺やマネーロンダリングといったものがほとんどで、国内金融機関はこれらの犯罪の対応に多くの力を注いでいる。サイバー攻撃への対応が遅れた理由にはそうした側面もあるが、いまや振り込め詐欺に対する注力と同等のコストをサイバー攻撃対策に振り分ける必要が生じ始めている。