IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。2014年7月に引き続き、オンラインバンキング被害について取り上げている。異なるのは、法人を攻撃対象としている点である。

狙われる法人口座

全国銀行協会が発表したアンケート結果によれば、2014年になり法人口座における不正送金の被害数、被害額ともに急増している(図1)。

図1 法人口座の不正送金被害の推移(今月のお知らせより引用)

先月の呼びかけは個人を対象としたものであったが、法人でも同様の傾向がみてとれる。その原因について、IPAでは、電子証明書を窃取するウイルスによる新しい手口の出現を指摘する。順を追ってみていこう。

電子証明書とは

インターネットを利用した取引で、もっとも重要となるのは、本人かどうかの確認である。ごく一般的な方法は、IDとパスワードによる方法である(図2の①)。パスワードは本来、本人しか知り得ない情報である。したがって、それが入力できるのは、本人であると確認できる。しかし、それが不十分であることは多くの方がご存じであろう。情報流出やパスワードの使い回しなど原因で、なりすまされることは少なくない。

図2 電子証明書を使った取引(今月のお知らせより引用)

そこで、使われるようになったのが、電子証明書である。本人であることを証明するものだ。一般的には、

  • 発行者
  • 有効期限
  • 名前
  • 暗号の鍵情報

などが含まれる。これらの情報は、鍵情報によって暗号化されている。ユーザー側を証明する場合もあるし、アクセスしたオンラインバンクが本当の銀行かどうかを確認するためにも使われる。一般的に使われている暗号化方式では、偽造は非常に困難である。電子証明書は、Webブラウザなどに格納することもあるし、外部記憶(ICカードやUSBメモリ)などに保存される場合がある(図2の②、③)。

電子証明書の発行は、さまざまな機関で行われている。代表的なのは、市町村などで発行されているICカードなどがある。住民基本台帳に基づき、発行されるものである。また企業などで、社員であることを証明するためにUSBメモリに保存するようなこともある。外出先のノートPCなどで、USBメモリを挿入することで、認証を行うものである。

公的なもの以外にも、セキュリティ企業などが発行する電子証明書もある。オンライン取引の場合は、銀行が発行することもある。いずれにしても、電子証明書自体は非常にセキュリティが高く、悪意を持った攻撃者が改ざんや偽造を行うことはほとんど不可能となっている。

このような電子証明書を使っているにもかかわらず、不正送金の被害が拡大している。その原因であるが、攻撃者らがユーザーの正しい電子証明書を詐取しているのである。その結果、図3のようになりすましが可能となり、不正送金が行われてしまう。

図3 電子証明書を詐取してなりすまし(今月のお知らせより引用)

電子証明書を窃取する手口

では、攻撃者はどのようにして、電子証明書を詐取したのであろうか。図2を再度、見てほしい。IPAによると、Webブラウザに格納している電子証明書が狙われたのである。Webブラウザに格納された電子証明書であるが、インポート(ブラウザに格納する作業)の際の設定で、エクスポートを可能にする場合がある。これは、バックアップのためであったり、他のWebブラウザでも電子証明書を利用できるようにするための機能といってもよい。1つは、これを悪用するものである。

図4 電子証明書窃取の手口(1)

電子証明書を持つPCにウイルスを感染させ、電子証明書をエクスポートして攻撃者のサーバーに送信するという手口である。この手口では、ウイルスに感染していることに気がつかないと、詐取されたことに気が付きにくい。そこで、電子証明書を発行する銀行によっては、エクスポートを不可とすることもある(利便性は損なわれるが、やもうえないともいえるだろう)。そこで、ウイルスは電子証明書を削除して無効にする。オンラインバンキングを行おうとすると、認証ができない。そこで、ユーザーが電子証明書の再発行をする。このタイミングを攻撃者は狙っている。再発行された電子証明書をインポートする際に、ウイルスは電子証明書をコピーし攻撃者のサーバーに送信するのである(図5)。

図5 電子証明書窃取の手口(2)

この手口では、電子証明書が無効になったことで、不自然さに気がつく可能性がある。再発行をするまえに、ウイルスなどの感染を疑うべきと、IPAは指摘する。

やはりウイルス対策が基本

いずれの手口も、ウイルス感染が前提となる。したがって、対策の基本はいつもと同じことになるが、ウイルス対策となる。それ以外として、IPAでは、以下をあげている。

  • インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定する。
  • 銀行が提供する方法で、セキュリティレベルの高い認証方法を採用する。
  • 銀行が指定した正規の手順で電子証明書を利用する。

また、全国銀行協会でも、対策などを紹介している。

図6 全国銀行協会のホームページ

さまざまなセキュリティ対策が紹介されているので、一読しておくとよいであろう。