金融高度化セミナー「金融機関における情報セキュリティの高度化に向けて」における中山企画役補佐講演要旨
2006年 1月26日
日本銀行金融機構局
講演に使用した資料は、PDF形式でご利用頂けます。ダウンロードはこちら(fsc0601d.pdf 325KB)。
昨年騒がれた偽造キャッシュカード犯罪に関しては、依然として磁気ストライプカードが主流を占めているという意味でリスクは減っておらず、根本的な解決が図られているわけではない。実際、被害額はピークに比べれば減っているとはいえ、ほぼ横ばいの状況が続いている。しかしながら、昨年8月に成立(施行は本年2月)した預金者保護法によって、利用者が損害を被ることはなくなったため、マスコミなどにおける報道は沈静化しているようである。もっとも、この預金者保護法は、インターネットバンキングにかかる犯罪には適用されないということには注意が必要である。インターネットバンキングにかかる犯罪等については、同法の附帯決議で「速やかに、その実態の把握に努め・・・」とあるのみであり、被害が少ない現時点では法による対応を先送りする一方で、将来、問題となる可能性を認識し、警鐘を発していると考えられる。したがって、被害が広がっていない今のうちに、インターネットバンキングについても、早めに対策を講じる必要がある。
国内でのインターネットバンキングを対象としたフィッシング等の犯罪としては、2003年のネットカフェにキーロガーが仕掛けられた事件や、2005年7月の電子メールでスパイウェアが送られてきた事件等が知られているが、被害総額は数千万円に留まっている。一方、海外での被害額は、米国のガートナー社によれば1,000億円に達するといわれているほか、英国やニュージーランドでは、フィッシングによる被害の広がりを抑えるためにインターネットバンキングのサービスを一時停止するといった、決済に影響しかねないような事例も発生している。
フィッシング等の犯罪は、その手口を見ると国境を越えて組織的に行われる万国共通のものであり、その不正に獲得された資金もICPOによれば、その多くがバルチック諸国に送られマネーロンダリングされているとみられている。いずれ日本も海外と同じような状況になることは十分考えられるため、海外の動向を参考にしつつ対策を講じておくことが必要である。
海外のフィッシングの動向に目を向けると、その手口は年々進化していることがわかる。日本やイタリアでは、従来から存在する単純なフィッシングに加え、ターゲットを絞ることによってより巧みに欺こうとする攻撃「スピアフィッシング」までが確認されているが、スペインではこれらが進化した「ファーミング」(DNS(注)やhostsファイルの変換テーブルを改竄し、顧客を不正サイトに誘導するもの)も発生している。米国ではさらに手が込んだ攻撃も見られ、「不正中継サーバー」や「悪魔の双子」とよばれる不正な無線LANのアクセスポイントのほか、高度な機能を持った「トロイの木馬」と呼ばれる不正プログラムも見つかっている。最新のトロイの木馬では、顧客のPCに感染しても通常は何もせずに潜んでおり、インターネットバンキングでID、パスワードが入力され、認証が済んだ時点で始めて活動を始め、不正送金等の指図を自動的に行う仕組みになっているものもあるようである。先々どのような攻撃が出現するかは予想出来ないのが現状といえる。
なお、2004年10月には、欧州で清掃員を装った犯行グループが、事務所内のPCにハードウエアタイプのキーロガーを仕掛けて、IDやパスワードを盗むという事件が起きている。このキーロガーは非常に目立たないもので、こうした機器が世の中に存在するということを知らない人にとってはいくら注意しても気づきようがない予想外のものであった。フィッシングの手口は年々巧妙になっており、事前に予想することは難しい。出来る限り適切な対策を適宜講じていくことができるよう、せめて、どのような手口が存在するのかを常にフォローしていくことは重要である。
- (注)DNS(Domain Name System)とは、インターネット上のホスト名とIPアドレスを相互に対応させる基本的な仕組み。
フィッシングは分業化が進んだ組織犯罪が中心であるということも大きな特徴である。フィッシングのターゲットとなる顧客のメールアドレスを収集する業者、フィッシングメールを送信する大量のPC(ボットPC)を貸出す業者、フィッシングを実行し顧客のIDとパスワードを取得する者、IDとパスワードを使って実際に不正な資金移動を行う者、など細分化されている。そして、何よりも、それぞれが互いに顔も知らないで結びついているため、「尻尾」が掴みにくくなっているのが実態である。
こうしたフィッシングに対抗するには、様々な観点からの対策が必要であり、通信業者、公的機関、金融機関など各セクターの協力が不可欠である。インターネットバンキングは金融機関のATM等とは違って、金融機関の管理が及ばない利用者のPCを取引端末としているほか、ソーシャルエンジニアリングと呼ばれる人間の心理的な隙をついて騙す手法が使われることも多いため、フィッシング対策としてとりわけ有効かつ即効性のある対策は「利用者の啓蒙」である。
金融機関として実施できる対策に焦点を当てると、ほかにも、正当なサイトであることを顧客が判断できるような仕組みを構築することや、本人認証の強化が考えられる。フィッシングによる被害は、最終的には「本人になりすます」ことによって行われる不正な資金移動指図によって発生するものであるため、利用者の本人認証を強化することは有効である。最近では、ソフトウェア・キーボードや乱数表を使ったパスワード入力等が普及しているが、これらも強固な認証とはいい難く、実際にこれらを破る攻撃法も確認されている。こうした状況下、本人認証を強化するためには「有効」な二つの認証方法の組合わせである「二要素認証」を導入することが望ましいと考えられ、海外でも推奨する公的機関は多い。例えば、トークンを使ったワンタイム・パスワード発生装置(認証の都度パスワードが変わるもの)は、例えフィッシングによってパスワードが盗まれても、成りすましに悪用することはできないという意味で、比較的有効と思われ、通常のパスワードと組み合わせて採用することなどが考えられる。多くの場合、二要素認証等の採用にはコストがかかるため、最終的には経営判断の問題にはなるが、昨日もある金融機関がワンタイム・パスワード発生装置の採用を発表するなど、前向きに検討している先は存在するようである。
金融ネット犯罪に対処するためには、金融業界としての取組みも重要になる。例えば、不正アクセス元のIPアドレスやフィッシングの新しい手口等について金融機関同士が情報交換することも必要となろう。これには、政府の「重要インフラの情報セキュリティ対策にかかる行動計画」の中で、2006年末までに、金融分野においても整備することが求められている情報共有・分析機能(CEPTOAR: Capability for Engineering of Protection, Technical Operation, Analysis and Response)を有効に活用していくこと等も考えられる。
いずれにせよ、インターネットバンキングに関しては、対応策が後手に回った偽造キャッシュカード問題の二の舞とならないよう、早め早めに対策を講じることが必要ではないだろうか。
以上