法人のネットバンキング利用、電子証明書の管理にご注意を

ネットバンキングの不正送金では法人被害が目立つことから、IPAは特に電子証明書の管理に注意するよう呼び掛けている。

[ITmedia]

　情報処理推進機構（IPA）は8月1日、インターネットバンキングを利用する法人向けに不正送金対策を行うよう注意を呼び掛けた。警察庁によれば、ネットバンキングの不正送金被害では法人利用者の被害が目立っている。

　法人向けのインターネットバンキングではログイン時の認証方法に、主に（1）IDとパスワード情報のみ、（2）Webブラウザに格納された電子証明書とパスワード、（3）ICカードなどに格納された電子証明書とパスワード――が利用されている。電子証明書はネットバンキングを利用する端末の“身分証明書”のような役割を担っているとし、電子証明書が端末から不正送金などを試みようとしても認証できず、送金が行われない。このため、IDとパスワードのみの認証よりも、電子証明書を利用する方がセキュリティレベルは高いとされる。

　しかし、最近ではネットバンキングの利用端末に感染したマルウェアが電子証明書を盗み取り、外部の攻撃者に送信して不正利用されてしまう手口が出現している。複数端末で利用している場合、エクスポート機能を使って各端末のWebブラウザに電子証明書を格納しておけば便利であるものの、盗み取られるリスクも高いことから、原則的に電子証明書のエクスポート設定を「不可」にしている銀行もある。

　ただし、マルウェアの中には端末に格納されている電子証明書を削除して無効にしてしまい、利用者に再発行させて、新しい電子証明書の情報を盗み取る手口が見つかっている。

電子証明書を盗み取る手口（IPAより）

　対策としてIPAは（1）ネットバンキングに利用する端末ではインターネット利用をネットバンキングに限定する、（2）銀行から提供される中でセキュリティレベルの高い認証方法を採用する、（3）銀行が指定した正規の手順で電子証明書を利用する――を挙げる。

　また、全国銀行協会が提示している以下の基本的な対策も実施してほしいと呼び掛けている。

• PCや無線LANのルータなどは未利用時に可能な限り電源を切断する
• 取引の申請者と承認者とで異なるPCを利用する
• 振込や払戻しなどの限度額を必要な範囲内でできるだけ低く設定する
• 不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認する