セキュリティ対策は自動化ツールだけ...ではなく、"手作業"も大切に
□ジャパンネット銀行の取り組み
ジャパンネット銀行は2013年秋、お客さまのデバイスのマルウェア感染を検知する機能を、インターネッ
トバンキングに導入しました。金融マルウェアに感染したお客さまにいち早く注意喚起し、不正送金を抑
止することが目的でした。
当初は1日1口座程度の検知を想定していましたが、1日に2桁の口座を検知する日が続きました。前回
でも触れたように、日本国内でも金融マルウェアが蔓延しているという事実を、改めて突き付けられまし
た。検知数が多かったことから、電話での注意喚起に加えて、メールやWeb サイト上での注意喚起を併用
し、周知徹底を図りました。
また、金融マルウェアの亜種が出るたび、攻撃のための設定ファイル(コンフィグ)が書き換えられるたび
に、マルウェア感染の検知数は変動します。「犯罪者」と「銀行・セキュリティベンダー」の対応はイタチ
ごっこが続くのです。
そこでJNB としては、マルウェア検知製品に頼るばかりでなく、自社で何かできることはないかと考えて
「コンテンツ関連の変更」を始めました。最初に行ったのは「週に1 度、ログイン時のURL を定期的に変
更する」という運用でした。
その狙いは、銀行サイトが表示されるタイミングで、金融マルウェアが偽のポップアップ画面を表示し、
認証情報を詐取するといった挙動を行うため、金融マルウェアの起動条件を少しでも交わすことにありま
した。
この対策は、多少の効果こそ認められたものの、犯罪者側もWeb サイトを継続的に監視していることから、
数日でURL の変更に追従してきます。犯罪者は、マルウェアの設定ファイル(コンフィグ)を書き換えて、
感染デバイスに再配布するのです。
また、ほかにも金融マルウェアが不正送金を自動実行する攻撃が増加傾向にありました。攻撃は以下の流
れで行われました。
1.お客さまが銀行サイトへアクセスする際にに、感染した金融マルウェアが偽のポップアップ画面を表示
2.お客さまにワンタイムパスワードを入力させ、金融マルウェアが詐取
3.金融マルウェアが詐取したワンタイムパスワードを使って(お客さまのデバイスから)不正送金を自動で実行
この攻撃に対しては、いわゆるHTMLランダイマイゼーション(HTML内部品のランダム化)の処理によって
対抗しました。HTMLがランダムに変わることで、金融マルウェアの活動を抑制したのです。
JNB においてはこの対策を境に、不正送金の自動実行が行われなくなりました。と言っても、JNB への攻撃
がなくなったわけではなく、この手法による攻撃がコストを要するため、その他の攻撃手法に変更しただ
けと思われます。
□多層防御の必要性
第5 回にも書いたように、2015年になると従来型のフィッシングに加え、スマートフォン向けにSMS を送
信するスミッシング(SMS フィッシング)や、電話で認証情報を聞き出すヴィッシング(ボイスフィッシング)、
金融マルウェアによる高度な攻撃の併用など、攻撃手法の高度化・多様化が進みました。犯罪者が攻撃手
口を変化させるため、一つの防御策だけでは不正送金を完全に防ぐことができない状況に陥りました。
そこで重要になるのが、イギリス視察で得た「多層防御(システム対応、モニタリング、注意喚起)」の対
策です。
当社では、不正送金に関するモニタリングを強化するため、2015年春にSIEM 製品を導入。Web サーバのロ
グなどを取り込んで分析することで、なりすましログインの早期検知やフィッシングサイトの発見などに
取り組みました。これらのモニタリング手法は、どこかに教科書があるわけでもなく、正解があるわけで
もないため、試行錯誤する日々が続きました。
モニタリングの具体的なサイクルとしては、データの抽出から過検知や誤検知を精査・排除し、条件の変
更や緩和・絞り込みといった手作業を重ねました。その苦労の甲斐もあり、半年後には明確に「検知精度
の向上」を感じとることができました。
その取り組みの一例としては、2016年の上半期にフィッシングサイト計20 個を、被害が生じる前に発見
することができました。結果として、世の中にフィッシングメールが出回る前にサイトのテイクダウンに
までこぎつけることに成功したのです。
また、不正送金未遂(不正な振込先の入力まで)など、比較的、検知が難しい事象に対するモニタリングへ
の取り組みも始め、こちらも同期に計20 件の事案を発見できました。お客さまへの注意喚起はもちろんの
こと、不正送金先の銀行に連絡することで、当該口座への対処もできました。
もちろん、これからも改善すべき点はあるかと思いますが、こうした早期の注意喚起を続けられているこ
とは、不正送金の抑止に繋がっていると考えています。最終回では、こうした不正送金への対応で金融機
関がどのような情報共有を行っているのか、説明します。
セキュリティ対策は自動化ツールだけ...ではなく、"手作業"も大切に
こんにちは。不動産担保ローンの日宝です。
大手チケット販売会社「ぴあ」は4月25日、運営を受託しているプロバスケリーグ「B リーグ」のチケットサイトとファンクラブの受付サイトに対して不正アクセスがあり、個人情報が流出したと発表しました。流出した可能性があるのは最大で約15 万5000 件の個人情報で、そのうちクレジットカード情報が約3万2000件あったそうです。ユーザーから個人情報を取得するサービスにとって、今後も情報保護が最重要課題ですね。
さて、銀行によるセキュリティ対策について紹介いたします。
ITSearch 2017年04月18日配信 【第6回】セキュリティ対策は自動化ツールだけ...ではなく、"手作業"も大切に より引用
これまで、犯罪に利用されるマルウェアは海外の犯罪組織により作られる場合がほとんどでしたが、
最近では日本国内でも中学生や高校生などの未成年がマルウェアを所持して逮捕される事例も出てき
ているそうです。原因として、高度な知識が無くても簡単にマルウェアを作成することができるツー
ルがアンダーグラウンドのサイトなどで販売されていることが挙げられるようです。
新種のマルウェアは発生速度が非常に速く、市販のウイルス対策ソフトの対応が追いついていないの
が現状とのこと。
警視庁のサイバー犯罪対策室の2016年の発発によると、「GameOver Zeus」と呼ばれるマルウェアは、
世界で50万台から100万台が感染し、そのうちの約20%が日本での感染と推定されています。日本国
内では「GameOver Zeus」に続き、Citadel、Vawtrak、Retefe、Shiz、Dyreza、Shifu, Rovnix, UrlZone
などの多くのマルウェアの攻撃が発生しています。これらの金融機関を狙ったマルウェアは、不正送
金マルウェアや金融系マルウェアと呼ばれており、現在も国内金融機関で被害が拡大しているそうで
す。
ソフトウェアによる対策ももちろん重要ですが、不審なメールは開かない、リンクをクリックしない
など、基礎的な対策が今後も必須かもしれません。
