第19回 過去10年の「情報セキュリティ10大脅威」にみる戦いの歴史日本型セキュリティの現実と理想(3/5 ページ)

» 2016年03月24日 08時00分 公開
[武田一城ITmedia]

ネットバンキングに関連する不正

 そして、標的型攻撃でも成しえなかった(?)2015〜2016年に2年連続の脅威1位を達成したのが、「インターネットバンキングやクレジットカード情報の不正利用」だ。これは2014年の5位「オンラインバンキングからの不正送金」として初めてランクインし、現在脅威のトップを独走していると言っていい状況だろう(表3参照)。

 これは、攻撃者が金銭にすぐ直結する銀行口座をターゲットにし始めたことを示していると思う。つまり、前述の標的型攻撃とは逆のパターンだ。攻撃者の目的はズバリ! 金銭である。

 この種の攻撃では金銭を得るために堅固な防御構造をまとった要塞のような場所へ攻撃をしかけることは非常に効率が悪い。その点、銀行口座に金銭があるのは明白なので、攻撃者にとってはそこへの攻撃に注力することが、目的達成のための近道となる。

 オンラインバンキングの銀行口座は、自宅や手元のモバイル端末で入出金が行える。非常に便利だが、セキュリティに関しては巧妙な詐欺的手法や運用面の脆弱性の問題などがいろいろあると、以前から専門家の間で指摘されている。例えば、銀行サイトを表示した時にポップアップを表示して暗証番号や秘密の質問などを入力させる詐欺的手法や、OSやブラウザの脆弱性を突いた攻撃などがそれだ。

 攻撃者は、金銭の在りかが分かっているので、やる気に満ちている。どこかに罠を仕掛けおけば、後は脆弱な環境のインターネットバンキング利用者が現れるのを待つだけで良く、とても効率的に金銭を得られる。

 このように情報セキュリティ10大脅威は、10年近く続いた堅牢な要塞の奥にある一攫千金の情報を狙う標的型攻撃から、金銭の在りかがはっきりしているインターネットバンキングを狙う攻撃へシフトしている状況の変化を裏付けている。

表3:金銭を得るためにより効率的で攻撃対象へ(同)※クリックで拡大

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ