【連載】

ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」

【第7回】セキュリティ情報共有の枠組み「金融ISAC」が果たす役割

[2017/05/11 13:00]JNB-CSIRT ブックマーク ブックマーク

セキュリティ

連載目次

情報共有の必要性

そもそも、金融機関同士の情報共有が必要なのかという点ですが、これは必要です。むしろ「必須」という表現の方が正しいかもしれません。犯罪者側は攻撃ターゲットを自由に選択することができますが、金融機関は攻撃されるのを待つしかありません。そのため、常に新しい攻撃手法を網羅的に把握することは極めて困難です。

ただ、情報共有は単に「どこかのセキュリティ団体に加盟すれば解決する」ということではなく、日々の情報交換やワーキング活動などを通じて、顔が見えるネットワークを作っておくことが必要だと考えています。

有益な情報を得るためには、情報発信することも必要です。情報発信することは個別に質問を受けたり、見解を求められたりする機会が増えます。これが大きなポイントで、そこには未知の知らない情報が多く含まれるため、自然と有益な情報を入手することができるのです。これらは相互の信頼関係があって初めて成り立つことだと思います。

どのような情報を共有しているのか

不正送金に関して、金融機関同士で共有する情報は大きくわけて「攻撃元情報(Indicator)」と「攻撃の手口」「対策手法」の3つがあります。

1つ目の攻撃元情報では、不正送金/なりすましログインに使われたIPアドレス、ユーザーエージェント(OS、ブラウザ情報)を共有することで、なりすましが発生していないか確認します。不正送金に至らずとも、なりすましログインされているケースが多々あり、これらのお客さまに注意喚起することで不正送金を抑止できます。

2つ目は、攻撃の手口です。金融マルウェアなのか、フィッシングなのか、金融マルウェアはどんな動きをするのか(不正画面の内容や動き)、フィッシングメールの件名や文面はどのようなものか。攻撃の手口を共有することで、例えJNBにその攻撃が発生していなくても、事前に攻撃へ対処する準備が可能となります。

3つ目は不正送金/フィッシングの対策・対応手順やモニタリング手法です。当社で出せる情報は、極力他社にも開示しています。「そこまで情報を出しても大丈夫か?」という声も聞かれますが、実はJNBにとってもメリットは多いのです。その一例としてフィッシングサイトの対応手順を整理・共有した事例があります。

他社がテイクダインしたフィッシングサイトと同じサーバーにJNBのフィッシングサイトが立っており、他社がテイクダウンの依頼を先行して実施していたお陰で被害を受けずにすみました。モニタリング手法の共有についても同様で、ノウハウを提示しつつ、他社からの情報提供を加えることで検知精度を向上できます。

また、検知精度が向上したモニタリングで見つけた攻撃元情報(Indicator)を共有することで、良いサイクルが発生しています。新たにモニタリングを始める企業においては、そのモニタリング手法が次の”ガイド”になりますから、限られたリソースを効率的に使う意味でも有効な策と言えるでしょう。

金融ISACでの取り組み

では、これまで記載してきたことが金融機関ですぐにできるようになったのかというと、そうでもありません。

金融機関のセキュリティ情報を共有するための枠組みとして、金融ISACが2014年8月に設立されました。現在では300社弱が加盟する大きな組織になりましたが、それも2012年4月から7つの銀行で始めたセキュリティ情報共有の検討会があったからこそできた枠組みだと思います。

その準備期間の約2年半で、「金融機関が連携することの意義」「顔の見えるネットワークを作ること」の重要性を学び、どのように情報連携を進めるのが良いのか、ある程度イメージを持つことができました。

現在、金融ISACの中には8つのワーキンググループがあります。その中でも、不正送金対策WGには500名を超えるメンバー(2016年12月1日時点)が参加していますが、金融機関同士が情報交換を行う意義(実際にはリソースシェアリングとして機能)があると感じているからこそ、多くの人が参加しているのだと思います。

金融ISACに対しては、ISACの活用度合いに応じた役割が求められていると思います。

例えば金融ISACの活用が進んでいる企業においては「コレクティブインテリジェンス」、つまりある機関で起きたインシデントを全金融機関で展開・対策できるよう共有することがあります。また、前述のリソースシェアリングでは、企業によらず共通する課題に対して、複数の金融機関で協同で検討できるメリットがあります。

一方で金融ISACの活用がこれからの企業においては、「金融ISACに参加して啓蒙活動する」という事実をもとに、経営者や従業者にセキュリティ意識を醸成することが期待されます。

「セキュリティ」というものは、すべてのことを1つの企業で調べるのは難しく、「得意なことは得意な人に調べてもらう」「既に調べてある情報は共有する」ということが大切です。これが、高度化するサイバー攻撃に対して金融機関がとるべき対応なのだと思います。

業界団体だからこその”力”

また、ワーキンググループは情報共有の場(リソースシェアリング)だけでなく、外部組織との連携でも大きな役割を果たしています。一つの企業としては依頼しにくい(腰が引けてしまう)ような情報の共有や対応の依頼についても、複数の金融機関が連携することで格段に行いやすくなりました。

不正送金対策において具体的な成果に繋がった事例もあり、「警察庁・警視庁との連携強化による不正IPへの対処」や「ホスティング事業者との連携による不正サーバへの対処」など、は複数の金融機関が協同で調整した賜物でした。

こうした各社の尽力から、2016年上期は不正送金被害額が約9億円と前年同期の約15億円から6億円の減少となりました。ただしこの数字の変化がありながらも「不正送金の攻撃がなくなった」と感じることはありません。ここでは触れませんが、直近でも攻撃手口は変化しており、それらへの対応を進めていかなければならないと考えています。

ジャパンネット銀行はインターネット専業銀行という立場から、ネットバンキング/インターネットの安全性を担保することが生命線と言っても過言ではありません。多くのお客さまにより安心してご利用いただけるよう金融機関が連携し、これからも不正送金の撲滅に努めていきます。

著者紹介


岩本 俊二(いわもと しゅんじ)
ジャパンネット銀行 IT統括部サイバーセキュリティ対策室長 JNB-CSIRT メンバー(PoC)

金融機関にて営業店・システム部門経験後、2008年からジャパンネット銀行のシステムリスク全般を担当。2013年のJNB-CSIRTの立ち上げに奔走し、メンバーに着任。2015年9月にサイバーセキュリティ対策室が設置され、室長に就任。金融ISACでは、不正送金対策WGの座長としても活動中

連載目次

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
2701
2
【連載】ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」 [7] セキュリティ情報共有の枠組み「金融ISAC」が果たす役割
そもそも、金融機関同士の情報共有が必要なのかという点ですが、これは必要です。むしろ「必須」という表現の方が正しいかもしれません。犯罪者側は攻撃ターゲットを自由に選択することができますが、金融機関は攻撃されるのを待つしかありません。そのため、常に新しい攻撃手法を網羅的に把握することは極めて困難です。
https://news.mynavi.jp/itsearch/assets_c/2017/05/jnb-thumb-450xauto-10451.png
そもそも、金融機関同士の情報共有が必要なのかという点ですが、これは必要です。むしろ「必須」という表現の方が正しいかもしれません。犯罪者側は攻撃ターゲットを自由に選択することができますが、金融機関は攻撃されるのを待つしかありません。そのため、常に新しい攻撃手法を網羅的に把握することは極めて困難です。

会員登録(無料)

セキュリティ・キャンプ2017 - 精彩を放つ若き人材の『今』に迫る
ぼくらのディープラーニング戦争
クラウドアンケート
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る