元銀行員がひも解くフィッシング詐欺の中身と対策：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

金融機関の対応策

　基本的にはWebサイトの制作担当者やシステムエンジニア（協力会社を含む）、金融機関側の検収担当者などが該当する。前項の対策ポイントを基に、筆者なりにアレンジしたポイントを列記したい。なお、ほぼ全ての金融機関が既に実装しているような対策や、抽象的な内容の対策は省いている。

1. 利用者にメールを送信する状況や内容を周知しておく（特に「電子署名付」「内容は○○」といった点はWebサイトに明記することが望ましい）
2. 重要情報を入力するページはSSL/TLSで保護する（ネットバンキングのログイン時からというのでは遅い場合も。一部の金融機関では常時SSLに対応済み）
3. 資産の移動に限度額を設定する（個人／法人別、来店しないと設定変更できない仕組みも一部では導入されている）
4. 資産の移動時に利用者に通知する（PCメール、携帯メールなどが一般的）
5. 正規サイトへアクセス可能な端末を制限すること（特に法人格の場合）
6. Webブラウザへのパスワード保存を禁止する
7. アクセス履歴を利用者でも確認できる仕組みにする
8. 正規サイトへのログイン時の認証には複数要素認証を利用する（ワンタイムパスワードも危険だが、あった方がいい）
9. 悪用される可能性の高い類似ドメイン名を登録しておく
10. 使用するドメイン名と用途の情報を利用者に周知すること（SSL証明書の内容も一緒に）
11. フィッシング詐欺に関する報告窓口を設ける
12. フィッシング詐欺発生時の行動計画を策定する
13. ペネトレーションテスト（不正侵入に対する検査）はできるだけ実施しておく
14. 外部リンクなどで常時SSLが困難なWebサイトは、その設計自体を変更することが望ましい
15. 脆弱性（XSSやCSRF、SQLインジェクションなど）はできる限り修正しておくのが望ましい

　その他にもいろいろあるかもしれないが、筆者なりにこれだけは実施しておいたほうがいいという点を挙げた。金融関係者の読者ならお分かりかもしれないが、個別具体的な対応策は千差万別なので、一般的な意見として確認していただければと思う。

最後に

　最近、三菱東京UFJ銀行がインターネットバンキング専用の無料ウイルス対策ソフトを提供するようになった。このアイデアは実は10年近く前に筆者も役員に提案したものであるが、その時にはまだ社会的に醸成されておらず、時期尚早と言われた。現在になって、ようやく実現することになったようだ。今後は追従する金融機関は今後増えていくだろう。ある意味、金融機関がこういう対応を取らねばならないほど、現在は危ない時代になったという事でもある。

インターネットバンキング専用の無料ウイルス対策ソフト

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。