遠隔サポートサービスに潜むセキュリティ・リスク

2023年8月10日

大手プロバイダー/電気通信事業者から無料体験モニター募集のメールが届いた。
サービス内容を見ると、オペレーター(アドバイザー)がPCにリモート接続して操作を補助するサービスのようである。(WindowsOSのリモートアシスタンスや、それに類するソフトを利用するものと思われるが詳細は確認していない)
メールには、サービス内容に関して以下の説明書き(抜粋)がある。
「◆パソコンやタブレット端末など、操作方法が覚えられなくても安心◆
専任のアドバイザーが、お客様に合わせて操作を代行。全くの初心者でも、安心してネットをご活用いただけます。
◆遠隔サポートでネット利用が カンタン・あんしん!◆
ネットショッピング、ネットバンキング、旅行サイトの予約・申込みなど、同じ画面を見ながらオペレーターが操作方法やトラブル解決方法をご説明します。」

一見、PCの操作に不慣れな人にとっては便利そうなサービスである。 しかし、ネットバンキングの操作までオペレーターがサポートするとなると話は別である。セキュリティ対策が大いに気になる。
セキュリティ・リスクですぐに気付くのは大きく2点である。
1つは、オペーレーターがネットバンキングの画面を見ることに起因するリスクである。 オペーレーターは、ユーザーの名前や口座番号、場合によってはIDやパスワードなども見ることが可能だと思われる。
オペレーターがその場でユーザーのPCを遠隔操作することは無いだろうが、後日別の場所でなりすまし等の内部犯行に繋がる可能性は否定できない。
今ひとつは、悪意を持った第3者による犯行を誘発するリスクである。
例えば、悪意を持った第3者がオペレーターをかたり、遠隔操作でユーザーのPCから情報を窃取したり不当な操作を行う等が考えられる。
これ以外にもセキュリティ・リスクはあろうが、一番対応が難しいのが、ベネッセ・コーポレーションや横浜銀行などで発生した 内部犯行による情報窃取やお金の不正引き出しではないだろうか。
特に今回モニターを募集している本サービスにおいて、オペレーターが委託先の従業員であるとしたら、先にあげた事例と同じ構造である。

今ひとつ気になるのは、インターネットバンキングにおける不正送金の事件が近年急増している点である。「情報セキュリティ白書2014」によれば、2013年に国内のインターネットバンキングを狙った不正送金の年間被害額は、過去最大の約14億600万円に上る。また、被害に遭った金融機関の数も過去最多の32行であった。これは個人のインターネットバンキングを契約している口座が増えていることとも無関係ではあるまい(個人のインターネットバンキングの口座は約6,600万口座)。(※)

このように本サービスにはいろいろと気になる点があったので、事業者にメールで問い合わせてみた。
「モニターに応募するか否かはさておき、本サービスにおける貴社のセキュリティ対策を教えて頂きたい」と。 2~3日後に事業者から回答が来たのだが、その内容はいささか木で鼻をくくったようなものであった。
曰く、「規約には、個人情報の取り扱いについての記載があり、サービス提供の過程で個人情報を知り得る可能性があることに同意いただくよう記載しております。
加えて、知り得た個人情報等のお取り扱いにつきましては、弊社が別に定めたプライバシーポリシーに基づき、取り扱う旨を併せて記載しております。 詳細につきましては、以下URLのページにてご確認ください」。
指定されたURLを見ても、遠隔サポート・ソフトがどのような情報を採取するかの記載はあるが、こちらの問い合わせの趣旨であるセキュリティ対策に関しては記載がない。ただ、企業としての一般的なプライバシー・ポリシーがあるだけである。
そのプライバシー・ポリシーに記載されているのは、個人情報の取り扱い規定などであり、オペレータなど関係者が知り得た情報に関しては守秘義務があるだけである。

遠隔サポートは、信頼できる人にヘルプを依頼することが前提だと考えられる。ヘルプを依頼する人はPCの操作に不慣れで、ITの知識も十分でないことが想定される。 従って、サービスを提供する側は、どのようなセキュリティリスクがあり、それに対してどう対策しているのかをユーザー側に示し、提供するサービスが信頼するに足ることを説明する責任があるように思うのだが。

(※)補足1
情報セキュリティ白書では、インターネットバンキングを狙った攻撃として主な手口3つが紹介されている。
①フィッシング:従来からある手口であるが依然として多い。2013年11月以降の被害状況に鑑み、フィッシング対策協議会は金融機関を語るフィッシングメールに対する緊急情報を公表した。「三菱東京UFJ銀行」「楽天銀行」、「ゆうちょ銀行」のいずれかを語り、「アカウントの確認依頼」または「ログイン画面の変更」を装ってフィッシングサイトに誘導するものである。
②情報窃取型のウィルス:利用者のパソコンに感染したウィルスが、正規のWebサイトを表示する直前に、本物に似せた暗証番号や乱数表の入力画面を表示するものである。Man-In-The-Browser(MITB)攻撃と呼ばれる。
③ワンタイムパスワードの窃取
2013年度は新たに、Webメールのログイン情報を窃取して悪用する手口が出現した。ワンタイムパスワードをWebメールで受け取る設定にしていると、この手口に遭うリスクがある。攻撃者は、パソコンにウィルスを送り込んで、Webメールのログイン情報を窃取、これを使って本人になりすまし、ワンタイムパスワードを盗み取るものである。
インターネットバンキングのログイン時にワンタイムパスワードを使用する場合は、ワンタイムパスワードをWebメール以外(キャリアメールなど)で受け取ることが推奨されている。
補足2
国民生活センターによれば、「遠隔操作によるプロバイダ変更の勧誘トラブル」に関する相談件数が急増しているようである。2014年度の相談件数は9月の時点で約1,500件にのぼる。不用意に遠隔操作ソフトをインストールしないようIPAでも注意喚起している。
遠隔操作を使用したサービスを利用する場合は、サービス提供事業者とサービス内容が信頼できるものか十分に確認する必要がある。
2018年5月追記
偽のウィルス警告と遠隔操作を悪用した詐欺まがいの事件が発生している、とIPAが注意を促している。
事件の手口は以下のとおりである(IPAのサイトより引用)。
・インターネットでウェブサイトを見ていたら、いきなり「パソコンがウイルス感染している」という警告画面が出てきて、無料のセキュリティソフトのダウンロードを促された。
・ソフトをダウンロードしてパソコンを検査したらウイルスがたくさん検出された。
・その後、有償版のセキュリティソフトを購入する必要があると表示され、クレジットカードでソフトを購入した。
・ソフトを有効化するために相手に電話をしたら片言の日本語を話す人が出て、遠隔操作ソフトを介してパソコンを2時間くらい操作された。
・チェックと対策を実施したとのことで、サポート契約料の支払いを要求され、クレジットカードで支払いをしてしまった。
・後に詐欺だと聞いたが、入れてしまったソフトはどうすればよいのか。
2019年6月 追記 「サポート詐欺」が増加中
上記(2018年5月の追記)で紹介したサポート詐欺が増加しているようだ。
情報処理推進機構(IPA)には、2019年1月から3月までの3か月間に500件を超える相談が寄せられたという。
攻撃者は、「ウィルス感染」や「システムの不調」を示す「偽の」警告画面を表示して、サポート窓口に電話を掛けるように誘導する。ユーザが慌てて電話を掛けると、遠隔操作ツールをインストールするように仕向けるという手口である。マイクロソフトの技術サポート窓口に見せかけた「偽の」警告画面も見つかっているという。

経営とITの話題
「経営とITの話題」のINDEX

経営とITの話題

Posted by kondo