ブログ

FFRI BLOG

2013-08-20 国内のネットバンキング被害が過去最悪のペースで拡大中


マーケティング部の川崎です。

7月に公表された警察庁のまとめによると、2013年上半期(1~6月)のインターネットバンキングでの不正送金被害が過去最悪のペースで拡大しているとのことです。 2013年上半期だけで被害件数は210件、被害額は約2億200万円と、過去最多だった2011年の被害件数165件、被害額3億800万円をともに上回るペースとなっています。

本BLOGでも何度か取り上げてきたテーマではありますが、警察庁が対策を強化するなど、社会的問題として今まで以上に被害が大きくなりつつあることから、改めて背景や対策について触れてみたいと思います。

ネットバンキングでの不正送金の背景には、フィッシングやファーミング、バンキングマルウェアなどが存在していましたが、近年はフィッシングやファーミングなどの偽サイトへの誘導による認証情報の搾取などへの対策が進んできたことから、バンキングマルウェアなどの不正プログラムによる被害の割合が増加しています。

フィッシングやファーミングといった偽サイトへの対策としては、サーバ証明書などによる真正性の証明が対策の一つとして挙げられます。ただし、サーバ証明書の場合、ネットバンキングユーザーがサーバ証明書の機能について理解し、サイトアクセスの際に自ら確認する必要があります。EV SSL証明書などは、ユーザーがわかりやすいようにWebブラウザのアドレスバーの色で判別できるようになっていますが、一般のネットバンキングユーザーの中でその意味について正しく理解されておられる方の割合はそう多くはないと思いますので、まだまだ啓発が必要ではないかと考えています。また、近年では認証局のハッキング事件なども幾つか発生しており、サイト真正性の判断根拠を証明書の情報だけに依存するのは危険かもしれません。

※ここでは詳細には触れませんが、認証局業界はハッキング事件を重く受け止め、再発防止のための様々な取り組みが行われています。

NTTコムウェア様が提供している「PHISHCUT」のような電子透かし技術の活用も有効な対策の一つです。ネットバンキングサイトの画像などに特殊な電子透かしを埋め込み、ネットバンキングユーザーの端末にインストールされた専用のクライアントソフトが、認証サーバに問い合わせを行うことでサイトの真正性を確認するというものです。サーバ証明書のようにアドレスバーの表示や証明書の中身を確認する必要がなく、ログインIDなどの重要情報を正規のネットバンキングサイト以外に送信しようとした場合もユーザーに対して明示的にポップアップで警告を出すため、ユーザーが気付きやすいように思います。

繰り返しますが、こうしたフィッシングやファーミングへの対策が浸透してきたことにより、攻撃手法にも変化が見られています。データとしては若干古いものになりますが、過去最大の被害があった2011年12月に公表された警察庁のデータにあるインターネットバンキングの被害内訳にも如実に表れています。

インターネットバンキングにおける被害内訳

上記データにあるとおり、近年ではフィッシングによる被害は減少傾向にあり、その代わりにマルウェアによる被害が拡大しています。 特に、本BLOGでも何度かご紹介してきたMITB(Man in the Browser)攻撃(マルウェアによるブラウザへの干渉)に起因すると思われる事象は、2012年10月以降、日本でも顕在化しており、様々な金融機関のWebサイトで注意喚起されています。

MITB攻撃の恐ろしいところは、フィッシングのような偽サイトと違って、ユーザーが正規のWebサイトにアクセスしているにもかかわらず、マルウェアがWebブラウザ上で情報を改ざんすることにより被害が発生してしまうことです。従って、前述のサイトの真正性を強化するような対応では防ぐことができません。

一方で、マルウェアへの対策というとウイルス対策製品による対策が頭に浮かぶかと思いますが、新しいマルウェアが1日に数万単位で発生している現在では、通常のウイルス対策製品でのリアルタイムな対応は難しいのが現状です。

また、マルウェアの問題は、ユーザーの端末上で起こっているものであり、ウイルス対策製品の導入やパターンファイルのアップデートなどの対応はユーザーに委ねられています。

警察庁やセキュリティ関連の業界団体、金融機関の啓蒙活動により、ネットバンキングサービスの利用時におけるセキュリティに対するユーザーのリテラシーは向上しているものの、ユーザーに対応を委ねる部分が影響するのはあまり良い状態とは言えません。

弊社が提供している「FFRI Limosa」は、これらの既存の課題を解決するところから製品コンセプトを定めています。

一つは、ネットバンキングユーザーが自らを守るのではなく、サービス提供者(金融機関)がユーザーを守るというコンセプトをとっています。従って販売先はサービス提供者となります。

金融機関がネットバンキング利用者に無償で提供しているセキュリティ製品は他にも幾つかあるものの、ユーザーの多くがインストールの手間を嫌ってインストールしていないというお話も幾つかの金融機関のお客様から伺ったことがあります。

FFRI Limosa」の場合、ユーザーがネットバンキングサイトにログインする際に半自動的にWebブラウザにセキュアなプラグインが適用され、ユーザーに手間をかけさせることなく、安全なサイト利用ができます。

もう一つのコンセプトは、防御の仕組みに表れており、Webブラウザに対する干渉の口を塞ぐことでWebブラウザの堅牢性を高め、マルウェアがWebブラウザ上で不正に情報を書き換えるMITB攻撃から守ります。

頑丈な金庫に入ったWebブラウザを利用するようなイメージですので、どんな泥棒(マルウェア)が家(PC端末)に侵入したとしても、金庫(FFRI Limosa)を破らない限り、Webブラウザには手出しできないことになります。

FFRI Limosa」は、フィッシングやファーミングには対応していませんが、「PHISHCUT」のような製品と組み合わせてご利用いただくことでそれらの脅威に対応しつつ、MITB攻撃のような新たな脅威にも対応することが可能です。




関連記事

インターネットバンキングを狙った攻撃について

Monthly Research「ブラウザへの新しい攻撃と新しい対策」