あらゆるものがデジタル化されてきた今、ITを介したトランザクションのすべてが“ログ”として残るようになっています。大量のログは、明確な視点をもって解析すれば、自ずと“語り出す”のです。第1回で、「時間と空間の軸」で分析すれば、特定の振る舞いをあぶりだせと説明しました。第2回では、「過去ログの証拠力」と「生ログの予測力」の違いに重点をおいた行動分析が重要だと説明しました。今回は、昨今話題の金融犯罪を例に、サイバー攻撃の姿がどう変化しているかを解説します。

ますます身近になってくる金融犯罪

 2011年は、多数の金融犯罪が発生した年だといえます。多くの事件がニュースでも大きく取り上げられました。特に、「出し子」という非常に特殊な犯罪専門用語が、NHKのニュースで使われるのを聞いた時には、長年この領域でセキュリティに携わっている私でも“まさか”と耳を疑ったものです。

 出し子とは、振り込め詐欺や、犯罪者が盗んだID/パスワードを使って不正振込送金させたお金を、不正口座からATMで引き出すだけの担当者のことです。数カ月の間に総額3億円相当が引き出された事犯では、一人の口座から2700万円が引き出されており、逮捕された出し子の一人がTVのニュースでも映されていました。

 この事件は、「金融犯罪はもはやネットの世界だけで語れるものではない」ことを物語っています。つまり、ネットワークから不正アクセスするバーチャルな犯罪者と、ATMから現金を引き出すリアルな犯罪者が、国を超えた組織的な連携の下に、犯罪の手口を細分化しているということです。

 IPA(情報処理推進機構)は、上記事犯の概要を、次のように公表しています(図1図2)。

図1●IPA(情報処理推進機構)がまとめた攻撃者の手順
図1●IPA(情報処理推進機構)がまとめた攻撃者の手順
出所:IPA、『コンピュータウイルス・不正アクセスの届出状況[9月分および第3四半期]について』、2011年10月5日

図2●IPA(情報処理推進機構)が公表した乱数表入力の勧誘画面
図2●IPA(情報処理推進機構)が公表した乱数表入力の勧誘画面
出所:IPA、『コンピュータウイルス・不正アクセスの届出状況[9月分および第3四半期]について』、2011年10月5日

1.犯罪者が、金融機関を偽った「偽メール」を金融機関の利用者に送信
2.利用者が、その偽メールの添付PDFをクリック
3.勝手に、PCにSpyEyeウイルスが感染
4.勝手に、本物の金融機関の銀行サイトを真似た「偽サイト」に誘導
5.利用者が、本物と思い自分のID/パスワードと契約者番号および乱数表を入力
6.PCに潜んでいるSpyEyeウイルス が、入力内容をコピーし犯罪者に送信
7.犯罪者は、送信されたIDパスワードを使って本物の銀行サイトにログイン
8.乱数表の番号をコピーした犯罪者は、口座残高を勝手に他行へ不正振込送金
9.出し子が、ATMから出金し、海外などに現金を持ち逃げする