「 法人向けインターネットバンキングの不正送金対策、しっかりできていますか? 」
「今月の呼びかけ」一覧を見る
第14-13-318号
掲載日:2014年 8月 1日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)
「 法人向けインターネットバンキングの不正送金対策、しっかりできていますか? 」
前月の呼びかけ※1でも紹介しているように、インターネットバンキングにおける不正送金被害は増加傾向にあります。
また、全国銀行協会が発表したアンケート結果※2に基づく過去2年間の法人口座の不正送金被害の推移を見ると、平成26年に急増していることがわかります(図1参照)。
図1:法人口座の不正送金被害の推移(過去2年間)
被害額急増の理由の1つに電子証明書※3を窃取するウイルスによる新しい手口※4の出現があります。
今月の呼びかけでは、法人口座を狙う不正送金の新しい手口と、その対策方法について解説します。
現在、銀行が法人向けに提供しているインターネットバンキングへのログイン時の認証方法は、概ね下記の3パターンに分類されます(図2参照)。
図2:法人向けインターネットバンキングの認証方法
電子証明書はインターネットバンキングを利用する端末として正当であることを証明する“身分証明書”のような役割を担っています。
そのため、電子証明書のない他の端末から不正送金などを試みようとしても認証されず、送金ができません。
このことから、上記に示す①のIDとパスワードのみの認証より、②および③の電子証明書を必要とする認証のほうが、高いセキュリティレベルが確保されていると言えます。
しかし、利用端末がウイルスに感染してしまうと電子証明書が窃取されてしまう新しい手口が出現しています。
電子証明書が窃取されてしまうと、攻撃者が所有する端末であってもインターネットバンキングが利用可能な“正当な端末”として認識されてしまいます(図3参照)。
図3:電子証明書を窃取されてしまうと攻撃者が所有する端末から利用可能となる
組織内の複数端末でインターネットバンキングを利用したい場合、それぞれの端末に電子証明書が格納されている必要があります。
ブラウザに格納する電子証明書の場合、インポート※5時の設定で、エクスポート※6を「可」とすることで、現在利用している端末以外の端末に電子証明書を格納することが可能となります。
利用端末が複数あることは業務効率が高く、便利な一方で、不正送金に悪用されるリスクが高まるため、利便とリスクのトレードオフを見極める必要があります。
そのため、電子証明書のエクスポート設定を原則「不可」としている銀行もあります。
最近では次のような電子証明書を窃取する新しい手口が確認されており、特にエクスポート設定が「可」となっている場合は、気付かないうちに電子証明書を窃取されてしまう危険性があります。
【1】エクスポート設定を「可」としてインポートした電子証明書を窃取する手口
端末がウイルスに感染していると、ウイルスが電子証明書をエクスポートして攻撃者のサーバーに送信します。
【2】エクスポート設定を「不可」としてインポートした電子証明書を窃取する手口
端末がウイルスに感染していると、ウイルスが電子証明書を削除して無効にしてしまいます。
そうすると認証が行えなくなるため、利用者は電子証明書の再発行手続きを行うことになります。
利用者が再発行された電子証明書をインポートする際に、ウイルスは電子証明書をコピーし攻撃者のサーバーに送信します。
図4:電子証明書窃取の手口
上記【1】の手口では、気が付かないうちに電子証明書が窃取されてしまう可能性があります。
【2】の手口では、不自然なタイミングで電子証明書が無効となるため、この時点でウイルス感染を疑い、電子証明書の再発行手続きの前にパソコンの初期化などでウイルスを駆除することで、電子証明書の窃取を防ぐことができます。
今回の手口でIPAが推奨する対策は次の通りです。
ただし、前述の手口はパソコンがウイルス感染していることが前提のため、パソコンをウイルスに感染させないための基本的な対策※7が最も重要です。
このほか、全国銀行協会でも7月17日にインターネットバンキングの利用者に対して以下のような情報セキュリティ対策※8を発表※9しています。
全国銀行協会が推奨するセキュリティ対策
法人口座は個人口座より送金限度額が大きいため、1度の不正送金が事業存続に致命的なダメージを与える可能性があります。
そのため、銀行が導入しているセキュリティ対策をよく確認し、ウイルスに感染しないための基本的な対策を行ったうえで、全国銀行協会が提示する対策も確実に実施することが望ましいと言えます。
2014年 8月 1日 | 掲載 |
---|
PDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。