利便性とリスク

2023年7月7日

インターネットバンキングをはじめインターネットを使用した各種サービスが広がり、利便性と効率が増すのに比例して、各種リスクも増大するという、あたりまえと言えばあたりまえの話。
最近、某銀行から下記の趣旨のメールが届いた。
「パソコンのマルウェア感染に伴う不正送金にご注意ください。ウイルス、スパイウェアへの感染により、PC内の全ての電子証明書が消失するという事象が報告されました。”電子証明書の消失”事象が発生した場合、電子証明書、ユーザID、ログインパスワードが窃取されている可能性があります。・・・・」

マルウェア(ウィルスやスパイウェアなど悪意のあるソフトウェア)がパソコン内の電子証明書とパスワードなどを盗み出し、その後当人に成りすました侵入者が口座からお金を不正に送金する(振込みする)手口のようである。
電子証明書を使用した認証は、ユーザIDとパスワードのみの認証に比べてセキュリティ強度が高く、比較的安全と考えていたので、少々驚いた。
電子証明書はブラウザ(=PCのディスク内)に保存されているが、これをエクスポート・インポートするツールやAPIがあるから、取り出すことは比較的容易なのかもしれない。

銀行以外でも、インターネットサービスを提供する事業社から、パスワードや個人情報に関するメールが届くことがある。
「個人情報が流出した可能性があるので、パスワードの変更をお願いします」
という、少々けしからぬ、腹立たしい内容のものから
「”なりすましによる不正アクセス”は、他の外部サービスから取得した個人情報(メールアドレス、パスワード等)を用いて、さまざまな企業サイトへ不正アクセスを行う手口です。この手口に対抗するには、定期的なパスワードの変更が有効です。」
という利用者に注意喚起する類のものである。

銀行口座からの不正送金と似たような話で、航空会社のマイルが不正に引き出され、ギフト券と交換されていたという事件も最近のニュースにあった。
こうしたネット上の犯罪や不正行為は昔からあった。
しかし、昔は愉快犯的なものが多かったのに対して、最近は手口が巧妙になり、内容も悪質なものが増えているようだ。
標的型攻撃と呼ばれる、最初からターゲット(主に企業や官公庁の場合が多い)を決めて、ターゲットの情報を改ざんしたり、ターゲットから情報を盗みだす手口が増えているという。
標的型攻撃は、SNS(ソーシャルネットワークサービス)やメールなどを使ってターゲット企業の社員や役員のPCにマルウェアを送り込む。
「PCにウィルス対策ソフトを入れているから大丈夫」と思ってはいけない。
マルウェアを送り込む侵入者は、PCのウィルス対策ソフトのチェックを潜り抜けられるように、マルウェアの亜種を作成して送り込んでくるそうである。
さらに、これら一連の手口の中の役割に応じて、それぞれの役割を担当する組織があるらしい。ネット上の犯罪も分業が進んでいるようである。

Webの利用者をニセのWebサイト(主に銀行などの金融機関を装ったニセのWebサイト)に誘導して、利用者の口座番号や暗証番号などを盗むフィッシング詐欺も、手口が巧妙になってきている。
フィッシング詐欺は、ニセのサイト(フィッシング・サイト)へ誘導するメールを送りつけるやり方が一般的であるが、利用者のPCのhostsファイルを書き換えたり、DNSサーバのレコードを書き換えてフィッシング・サイトに誘導するものもあるようだ。
フィッシング詐欺については、フィッシング対策協議会が「フィッシング対策ガイドライン」を発行している。
このガイドラインには、サービス事業者向けの対策と利用者向けの対策が書かれている。詳細は資料を読んで頂くとして、利用者側で対策すべき重要事項として、次の3つの項目について注意喚起している。
①怪しいメールには注意する。
具体的には、
・パスワードやクレジット番号の入力を求めるメールは信用しない。
・メールに記載されている差出人の組織や名称を(無条件に)信用しない。
・メールの内容に不可解な点がないか疑え。
などである。
②電子メール本文中のリンクはクリックしない。
そうはいっても全くクリックしないわけにはいかないだろうから、以下の点に注意する。
・メールはHTML形式でなく、TEXT形式で閲覧する。(HTML形式はリンク先を偽装できるため)
・表示されたアドレスが、http://またはhttps://で始まっていることを確認する。
・表示されたアドレスが、既知の正規サイトのものであることを確認する。
③パソコンを安全に保つ。
これは、PCにウィルス対策ソフトを導入することと、OSやアプリケーションに最新のセキュリティパッチを当てること、などである。
利用者側で打てる対策は極力実施するようにしたい。(そうはいっても、サイト毎にパスワードを変え、パスワードの強度にも注意して、さらに定期的にパスワードを変更するというのはかなり大変な作業である)

さて、サービス事業者にとって、セキュリティに対する脅威は企業の外部だけではない。企業の内部にも、システムへの不正な侵入や、情報を不正に持ち出そうとする人物が存在する、等のリスクがある。
侵入者が組織内部や関係会社の人間の場合、当該企業のシステムや運用などの事情に詳しい、すなわち脆弱な部分を熟知しているから厄介である。
今年Y銀行で発生したカード偽造事件は、ATMの保守管理を委託されていた企業の従業員による内部犯行である。
不正に入手した利用者の情報を基に銀行カードを偽造して、他人の銀行口座から不正にお金を引き出していた。
業務運用上のチェック態勢の問題もあるが、従業員、組織の倫理の問題が大きい。

経営とITの話題
経営とITの話題のINDEX

経営とITの話題

Posted by kondo