法人口座の不正送金被害が急増している。IPA(情報処理推進機構)は1日、ネットバンキングを行う端末をウイルスに感染させて「電子証明書」を窃取する新手口が使われているとして、感染しない対策をとるよう呼びかけた。
全国銀行協会のアンケート結果によると、法人口座の不正送金被害は今年に入り、急増している。2012年、2013年の発生件数は0~5件で推移しているが、2014年は1~3月だけで21件の被害が発生し、被害額もこの3か月間で140億円と、過去2年間の累計金額である47億円の約3倍にも達した。
被害急増の理由の1つが、法人向けネットバンキングの認証に使われている電子証明書を窃取するウイルスだ。電子証明書は、ネットバンキングを利用する端末が正当であることを証明する“身分証明書”のようなもの。電子証明書がない他の端末から不正送金を試みようとしても認証されず、送金できない。このため電子証明書を使う法人向けネットバンキングはセキュリティレベルが高いとされてきたが、端末をウイルスに感染させて電子証明書を窃取する新しい手口が出現し、この評価を揺るがせている。
■電子証明書を窃取する2つの手口
ブラウザに格納するタイプの電子証明書を使ったネットバンキングを、1台ではなく複数端末で利用したいというとき、それぞれの端末に電子証明書が格納されていなければならない。このとき電子証明書のエクスポートを「可」に設定すると、現在利用している端末以外の端末に電子証明書を格納できる。しかし、複数端末での利用を可能にするエクスポート設定を「不可」としている銀行もある。不正送金に悪用されるリスクが高まるためだ。
「可」「不可」どちらの場合にも対応して電子証明書を窃取するウイルスが登場している。(1) エクスポート設定を「可」としている場合、ウイルスが電子証明書をエクスポートして攻撃者のサーバーに送信する。(2) エクスポート設定を「不可」としている場合は、まずウイルスが電子証明書を削除して無効にしてしまう。困った利用者が電子証明書の再発行手続きを行うことを見越した作戦で、利用者が再発行された電子証明書をインポートする際に、ウイルスは電子証明書をコピーして攻撃者のサーバーに送信する。
(1) の場合は、気付かないうちに電子証明書が窃取されてしま危険がある。(2) の場合は、電子証明書が不自然な形で無効となった時点でウイルス感染を疑うことができれば、電子証明書の窃取を防ぐことができる。
■感染を防ぎ、不正送金を許さない対策を
IPAは、パソコンをウイルスに感染させない基本対策(A)が最も重要であるとし、そのうえで、「ネットバンキングに利用する端末は、ネット接続をネットバンキングに限定する」ことや、「銀行が提供する中でセキュリティレベルの高い認証方法を採用する」「銀行が指定した正規の手順で電子証明書を利用する」ことを推奨する。さらに、全国銀行協会が推奨する対策(B)も確実に実施することが望ましいとしている。
<A:端末をウイルスに感染させない基本対策>
・OSやアプリケーションソフトの脆弱性を解消する
・ウイルス対策ソフトでウイルスの侵入を防止する
・簡単にメールの添付ファイルを開かない
・IDやパスワードを使い回さない
<B:全国銀行協会が推奨する対策>
・ネットバンキングに使う端末はインターネットの利用をネットバンキングに限定する
・パソコンや無線 LAN のルータ等について、未利用時は可能な限り電源を切断する
・取引の申請者と承認者とで異なるパソコンを利用する
・振込や払戻し等の限度額を必要な範囲内でできるだけ低く設定する
・不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認する
(2014/08/06 ネットセキュリティニュース)
【関連URL】
・法人向けインターネットバンキングの不正送金対策、しっかりできていますか?(IPA)
http://www.ipa.go.jp/security/txt/2014/08outline.html
・法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方について(全国銀行協会)
http://www.zenginkyo.or.jp/news/2014/07/17174000.html
・銀行および法人のお客さまに求められるセキュリティ対策事例[PDF](全国銀行協会)
http://www.zenginkyo.or.jp/news/entryitems/news260717_1.pdf