全国銀行協会(全銀協)が7月17日に「法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方について」を発表した。これは、法人がネットバンキングで不正送金被害を受けた場合に、銀行がどう対処すべきかを定めた指針だ。
個人・法人を問わず、この1年間で不正送金被害が拡大を続けており、2013年における1年間の被害額が約14億600万円であったのに対して、2014年は5月9日までの4カ月余りで約14億1700万円と前年の倍以上のペースで被害が増えている(警察庁調べ)。
被害額の増大の一因とされるのが、冒頭で触れた法人ユーザーの不正送金被害だ。法人ユーザーは、個人ユーザーとは異なる一日の送金可能枠が設定されているため、万が一被害を受けた場合の被害が巨額になる可能性が高い。
全銀協では、この現状を踏まえた上で、法人ユーザーに対して個人ユーザーと同様に「(銀行に)法的責任はないと考えられる場合であっても、継続的なサービスの提供や銀行の経営戦略等の観点から合理性があるとして、法人のお客さまの被害を補償するとの判断がある」との見解を示した。
ただ、手放しに法人ユーザーの不正送金被害に対する補償が行なわれるわけではない。注目すべきは「一般に法人のお客さまによるセキュリティ対策等への対応力は、個人のお客さまに比べれば相対的に高いと考えられる」という文言だ。
つまり、法人ユーザーは、商取引に対する責任から、セキュリティ対策を万全に行なっているものとしており、その上でセキュリティを突破されて被害を受けた場合には補償するとの指針でもあるのだ。銀行側も万全の対策を行なう必要性が示されている一方、法人ユーザーも「銀行側が講じた対策の実施」や「ネットバンキングの定期的なパスワード変更」といった例を挙げている。
ほかにも"対策の推奨"とするセキュリティ対策を挙げているが、「PCの利用目的として、ネット接続時の利用はインターネット・バンキングに限定する」や「取引の申請者と承認者で異なるPCを利用する」といった小規模企業などでは対策しづらい事例も見られる。
全ての対策をやらないからといって補償が行なわれないというわけではないし、あくまでも指針だが、少なくとも以下の「補償減額、または補償しないケース」は避けた方が良いだろう。
猛威を振るうオンライン銀行詐欺ツール
冒頭部分で被害額の増大と触れたが、実際にオンライン銀行詐欺ツールの国内における検出台数も増加傾向にある。
この5月、6月には「VAWTRAK」と呼ばれるオンライン銀行詐欺ツールがトレンドマイクロによって多く検出されており、これまで主流とされてきた「ZBOT(別名ZEUS)」を凌駕する検出数となっている。
これらのオンライン銀行詐欺ツールは、古典的なフィッシング詐欺サイトやキーロガー、二要素認証情報を全て入力するようなタイプを更に進化させたもので、よりユーザーが気付きにくいものに仕上がっている。ユーザーのWebブラウザで正規サイトに繋がっているにも関わらず、侵入した不正プログラムが正規サイト上で偽の画面を表示するため、ユーザーが安心してしまった状態で攻撃者に口座暗証番号や送金処理を行なってしまう可能性がある。
攻撃者からすれば、気付かれなければ気付かれないほど成功確率は上がるため、この手口が急速に拡大しているのも攻撃者同士の情報交換によって「日本は狙いやすい」「この詐欺ツールを使えば成功する」といった噂が広まっている可能性があるとトレンドマイクロは指摘する。
ここ2カ月で急増した「VAWTRAK」はセキュリティ製品の起動を不可能にする機能を持つ。もちろん、セキュリティ製品側も対策は行なうため、現在でもこの状況が続くとは限らないが、「VAWTRAK」が特殊な点は、ただ起動を不可能にするだけではない、その手口にある。
一般的に、マルウェアがPCで活動する上で障害となるセキュリティ製品の動作を止めようとする場合、マルウェアはプログラムの実行プロセスを監視して、プロセスが走っているセキュリティ製品を止めるようにプログラミングされている。
しかし、セキュリティ製品の多くは、そうしたプロセスを監視しようとするプログラムを逆に監視しているため、これが元となってセキュリティ製品がマルウェアを検知するケースが多い。
「VAWTRAK」は、その点を意識したためか、OSの標準機能である「グループポリシー」を悪用して、セキュリティ製品の活動を止めにかかる。グループポリシーは、企業などが一括してクライアントPCを管理する場合に「このソフトは動かして良い」「これは、業務外に利用される可能性があるのでストップ」といった使い方ができるため、非常に有効な機能なのだが、裏を返せば「このソフトは邪魔なので止めてしまえ」という使い方もできるわけだ。そしてこの機能を悪用したものが「VAWTRAK」となる。
一方、「ZBOT」と「VAWTRAK」ではない存在として「AIBATOOK」と呼ばれる詐欺ツールもある。これは、バッファローの正規のソフトウェアダウンロードに見せかけて、オンライン銀行詐欺ツールが仕込まれた際に確認されており、いくら正規サイトであっても、サイト側のセキュリティが万全でなければユーザーに被害が及ぶ一例であった。セキュリティに対する考え方は、ユーザーだけではなく、サイト運営側にも悩み深い話というわけだ。
大元の話に戻るが、オンラインバンキングの法人ユーザーについては、ユーザーに「電子証明書」が発行されるケースが多い。これは、利用金額が大きいため、ユーザーが正規のユーザーであることを確認するための証明書で、これがなければ本来は攻撃者がユーザーに成りすますことは難しい。
しかし、電子証明書を盗み出す方法が全くないわけではなく、「利用者のPCないの電子証明書を遠隔でエクスポートして盗み取る」「盗み取れない場合でも、最初の電子証明書を一旦削除して、新たな証明書をユーザーがダウンロードするタイミングを狙って盗み取る」といったこともできる。
不安を煽られる印象を受けるユーザーもいるが、トレンドマイクロではこうした「詐欺の手口を知ることが重要だ」とする。その上で、Web脅威対策や不正メール検知機能、OS上の怪しいプログラムを監視・検知する機能を有する総合セキュリティソフトの導入や、事業者側は多要素・他経路認証を導入することで、詐欺行為が行なわれにくくなる。そういった対策の積み重ねが、不正送金被害から会社や個人を守ることに繋がると話していた。