ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」(6) セキュリティ対策は自動化ツールだけ...ではなく、手作業も大切に

ジャパンネット銀行の取り組み

ジャパンネット銀行は2013年秋、お客さまのデバイスのマルウェア感染を検知する機能を、インターネットバンキングに導入しました。金融マルウェアに感染したお客さまにいち早く注意喚起し、不正送金を抑止することが目的でした。

当初は1日1口座程度の検知を想定していましたが、1日に2桁の口座を検知する日が続きました。前回でも触れたように、日本国内でも金融マルウェアが蔓延しているという事実を、改めて突き付けられました。検知数が多かったことから、電話での注意喚起に加えて、メールやWebサイト上での注意喚起を併用し、周知徹底を図りました。

また、金融マルウェアの亜種が出るたび、攻撃のための設定ファイル(コンフィグ)が書き換えられるたびに、マルウェア感染の検知数は変動します。「犯罪者」と「銀行・セキュリティベンダー」の対応はイタチごっこが続くのです。

そこでJNBとしては、マルウェア検知製品に頼るばかりでなく、自社で何かできることはないかと考えて「コンテンツ関連の変更」を始めました。最初に行ったのは「週に1度、ログイン時のURLを定期的に変更する」という運用でした。

その狙いは、銀行サイトが表示されるタイミングで、金融マルウェアが偽のポップアップ画面を表示し、認証情報を詐取するといった挙動を行うため、金融マルウェアの起動条件を少しでも交わすことにありました。

この対策は、多少の効果こそ認められたものの、犯罪者側もWebサイトを継続的に監視していることから、数日でURLの変更に追従してきます。犯罪者は、マルウェアの設定ファイル(コンフィグ)を書き換えて、感染デバイスに再配布するのです。

また、ほかにも金融マルウェアが不正送金を自動実行する攻撃が増加傾向にありました。攻撃は以下の流れで行われました。

1.お客さまが銀行サイトへアクセスする際にに、感染した金融マルウェアが偽のポップアップ画面を表示

2.お客さまにワンタイムパスワードを入力させ、金融マルウェアが詐取

3.金融マルウェアが詐取したワンタイムパスワードを使って(お客さまのデバイスから)不正送金を自動で実行

この攻撃に対しては、いわゆるHTMLランダイマイゼーション(HTML内部品のランダム化)の処理によって対抗しました。HTMLがランダムに変わることで、金融マルウェアの活動を抑制したのです。

JNBにおいてはこの対策を境に、不正送金の自動実行が行われなくなりました。と言っても、JNBへの攻撃がなくなったわけではなく、この手法による攻撃がコストを要するため、その他の攻撃手法に変更しただけと思われます。

多層防御の必要性

第5回にも書いたように、2015年になると従来型のフィッシングに加え、スマートフォン向けにSMSを送信するスミッシング(SMSフィッシング)や、電話で認証情報を聞き出すヴィッシング(ボイスフィッシング)、金融マルウェアによる高度な攻撃の併用など、攻撃手法の高度化・多様化が進みました。犯罪者が攻撃手口を変化させるため、一つの防御策だけでは不正送金を完全に防ぐことができない状況に陥りました。

そこで重要になるのが、イギリス視察で得た「多層防御(システム対応、モニタリング、注意喚起)」の対策です。

当社では、不正送金に関するモニタリングを強化するため、2015年春にSIEM製品を導入。Webサーバのログなどを取り込んで分析することで、なりすましログインの早期検知やフィッシングサイトの発見などに取り組みました。これらのモニタリング手法は、どこかに教科書があるわけでもなく、正解があるわけでもないため、試行錯誤する日々が続きました。

モニタリングの具体的なサイクルとしては、データの抽出から過検知や誤検知を精査・排除し、条件の変更や緩和・絞り込みといった手作業を重ねました。その苦労の甲斐もあり、半年後には明確に「検知精度の向上」を感じとることができました。