不正プログラムによるパスワード盗難事件を受けて、インターネット銀行各社が対策を打ち出している。ネットでは便利な技術もあくどい詐術も日進月歩ゆえ、今日の脅威への対策が明日も通用するとは限らない。最終的には自分で気を付けるしかない部分もある。現状の手口と対策の限界を掌握しよう。
パソコンや携帯電話からネット経由で各種サービスを利用できるインターネット銀行。ショッピングや証券など他のネット取引の発達も手伝って、利用者は増加の一途だ。
一方で、パスワードの詐取による不正送金事件も目立つようになった。2005年7月にはジャパンネット銀行、みずほ銀行、イーバンク銀行の3行で同時期に、不正プログラム*1によるとみられる金銭的被害が発生した。
本特集では、過去の事件から被害パターンを知ると同時に、銀行側やセキュリティ対策ソフトの対策とその限界点を見ていく。そうすることで、“ユーザー自らが気を付けるしかない”ポイントを明らかにし、ネット銀行を使う際のセキュリティ意識を啓蒙できれば幸いだ。
銀行狙いでしかも特注品
パスワードを不正に取得される主な経路としては、(1)不正プログラムの侵入を許す、(2)フィッシング詐欺などのインターネット詐欺にだまされる、(3)メモの盗み見や知人による盗難などずさんなパスワード管理……の3つが考えられる。
特に(1)、(2)に関しては、手口の巧妙化が著しい。例えば7月の事件。みずほ銀行利用者のパソコンに感染した不正プログラムを分析したトレンドマイクロはこれに「TSPY_ BANCOS.ANM」と名付けた。
この不正プログラムはメールの添付ファイルに仕込まれて被害者に送付された。被害者がファイルを開いて(実行して)パソコンに感染すると、パスワードなどのキー入力操作を記録してネット経由で犯人に送信する(図1[拡大表示])。巧妙なのは、ネット銀行にアクセスしたときだけキーを記録・送信する点。要するにネット銀行だけを狙うのである。
この事件が特異的な点はもう一つある。犯人がターゲットを限定していること(別掲記事参照[拡大表示])。巧妙なことに、通信販売を営む被害者の企業あてにクレームを装ったメールを送りつけたのだ。これではだれだって「すぐ対応しなければ」と添付ファイルを開いてしまう。
旧来型の不正プログラム制作者は、不特定多数にばらまく愉快犯が多かった。大量に流通する“既製品”の不正プログラムにはセキュリティ対策ソフトのメーカーも対応しやすい。だが、標的を絞った“特注品”は事件が公にならないと対応が困難だ。「個人を狙うような不正プログラムの場合は、検体をタイムリーに手にれるのがなかなか難しい」(シマンテックの野々下幸治エグゼクティブシステムエンジニア)。トレンドマイクロによると、くだんのTSPY_BANCOS.ANMの報告例は現在1件だけである。
撮影されてはたまらない
キー操作を記録する不正プログラム(キーロガー)の被害は数年前から報告されている。2003年にはシティバンクのユーザーがインターネットカフェに仕掛けられたキーロガーにパスワードを取得され、1600万円を奪われる事件が話題になった。
キーロガーはもともと不正プログラムではなく、社員の機密情報へのアクセス記録などを残すセキュリティ管理に使われる。市販品もあるので参考に見てみると、その多機能ぶりは舌を巻くばかりだ(図2[拡大表示])。キー操作記録のみならず、パソコン画面を画像(スクリーンショット)として保存したり、検索サイトで入力した単語やネットサーフィンの履歴まで記録できる。キーロガー対策として乱数表やソフトウエアキーボード(後述)を導入する銀行もあるが、「スクリーンショットなどを併用する不正プログラムには無力。そうした不正プログラムはすでに存在する」(セキュアブレインの山村元昭チーフテクノロジーオフィサー)。従って対策の基本は、悪意あるソフトの侵入を防ぐことに尽きる。
詐欺師のメールに御用心
もう一つ警戒すべきは、フィッシング詐欺などメールを使った詐欺だ。図3[拡大表示]は2005年3月に流布した詐欺メールの実物である。フィッシング詐欺は、実在する金融機関などをかたってユーザーに偽のメールを送り付けるところから始まる。偽メールの本文にはリンクがあり、「このリンク先で個人情報を入力しないとアカウントが失効する」などの脅し文句が同居。あわててリンク先を開くと、当該金融機関の正規Webサイトそっくりの偽サイトに誘導され、個人情報の入力を促される。
フィッシング詐欺には取り立てて高度な技術は必要ない。むしろ、画面デザインや文面からいかに本物らしく見せるかという心理的な“だまし”のテクニックが厄介なのである。
例はまだ少ないものの、フィッシング詐欺の進化形ともいえる、ファーミング詐欺という手口も登場している。ファーミングでは攻撃者があらかじめコンピューターに不正行為の種を仕込む。具体的にはパソコンに不正プログラムを送り込んでhostsファイルを書き換えるか、DNSサーバーのキャッシュを書き換える。要するにURLとIPアドレスを対応させるDNS(Domain Name System)に細工をするわけだ。するとユーザーがアドレスバーに本物サイトのURLを打ち込んでも、偽サイトにアクセスしてしまう。偽メールで釣り上げる(fishing→phishing)どころか、急所のDNSに種をまく農業(farming→pharming)のようなものだ。
個人でできるファーミング対策はhostsファイルの書き換え防止、すなわち不正プログラムの侵入やパソコン不正利用の防止である。DNSサーバー側については、管理者のセキュリティ対策次第となる。
だがパスワード流出で相変わらず多いのは、「盗み見」などの古典的な手口だ。上の表は警察庁が公開している2005年度上半期のパスワード流出原因の一覧。不正プログラムなどよりも管理ミスによる事件の方が多いことが分かる。誕生日など推測しやすいパスワードを避けるのはもちろん、パスワードをメモしてパソコンに貼り付けたり、他人にパスワードを教えるのは御法度だ。
ファイル交換でまたもや
ファイル交換ソフトの使用にも気を付けたい。10月にジャパンネット銀行の利用者がパスワードを詐取され、不正送金される事件が発生した。このユーザーはファイル交換ソフトを利用しており、さらにハードディスク内にIDとパスワードを記録したファイルを保存していた。ファイル交換ソフト経由で何らかの不正プログラムの侵入を許し、パスワードを記入したファイルが流出したのではないかとみられる。
事件から学ぶ脅威については以上だ。次章ではインターネット銀行側の対策と、その有効性/限界について見ていこう。
