ネットバンキングの不正送金被害、法人での対策ポイントは?

既に2013年を上回る被害が発生しているオンラインバンキングの不正送金事件は、特に地方銀行や信用金庫などの法人顧客の被害が目立っている。

» 2014年07月31日 19時55分 公開
[國谷武史,ITmedia]

 ネットバンキングにおける不正送金の2014年の被害額は、5月9日時点で既に2013年を上回る14億1700万円に達し、通年では深刻な状況になることが予想されている。シマンテックが7月31日に行った不正送金マルウェアの動向説明会では、警察庁生活安全局情報技術犯罪対策課の小竹一則警視が対策などを解説した。

2014年5月時点の被害状況

 2013年5月9日時点での不正送金事件は、46の都道府県で確認され、被害が発生した金融機関は58に上る。被害件数全体に占める法人の割合は、2013年の4.1%から2014年は12.5%に増加し、被害額に占める割合では6.9%から33.9%に急増している状況だ。

 小竹氏によると、都市銀行などでは件数、金額とも個人の占める割合が約9割である一方、地方銀行や信用金庫・信用組合では法人が大多数を占める状況になっている。手口では金融機関になりすましたメールから利用者を偽サイトへ誘導して情報を入力させるフィッシング詐欺に加え、マルウェアを使って正規サイトと利用者のコンピュータとの通信に割り込み、コンテンツを改ざんするなどして情報を盗み取るなどする「中間者攻撃」も目立っている。

 「国内では『出し子』やブローカーを検挙しても次から次に犯罪者が出現しており、不正送金犯罪のインフラが確立されてしまっている厳しい状況だ」と小竹氏は説明している。

 不正送金対策では、まずコンピュータを最新の状態に更新したり最新のセキュリティソフトを導入したりして、マルウェア感染や脆弱性攻撃などのリスクを軽減するほか、不審な画面の変化などを注意したり、ワンタイムパスワードなどの多段階認証を利用するといった基本的な点が求められる。

 さらに、法人利用者ではこれらに加え、オンラインバンキングの取引担当者と承認者のコンピュータを異なる端末に使い分けることや、送金限度額を必要の範囲内で引き下げること、不審なログイン履歴の有無などを常に確認することが求められる。また、電子証明書のエクスポートを無効にしたり、ICカードなど物理的に別の場所に格納したりするほか、受付当日の送金を制限しておくなどの対策も有効になるという。

 不正送金犯罪で暗躍するマルウェアについて、シマンテック セキュリティレスポンスの浜田譲治シニアマネージャは、世界的に流行したトロイの木馬「Zeus(Zetbot)」のほか、メガバンクやカード会社、地方銀行など40近い国内機関を標的にする「Snifula」に加えて、2014年は「Bankeiya」や「Torpplar」が台頭していると述べた。

国内で暗躍する不正送金マルウェアの特徴

 特に2013年11月に発見されたというBankeiyaは、2014年3月の国内大手旅行会社のWebサイト改ざん事件でInternet Explorer 9/10のゼロデイの脆弱性を突いて閲覧者のコンピュータに感染した。さらに6月は、この亜種がWebサイトの改ざんや大手PC周辺機器メーカーが配布するファイルなどを通じて拡散した。この時はAdobe Flash Playerの新しい脆弱性を突いて攻撃しており、次々に新たな脆弱性を悪用するのが特徴になっている。

 同社ノートン事業部の植山周志マーケティングスペシャリストは、複数の検知技術を用いるセキュリティソフトを活用してマルウェア感染を防いでほしいと呼び掛けた。

関連キーワード

不正 | ネット銀行 | 犯罪 | 警察 | 中間者攻撃


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ