「日本企業を騙ったフィッシング詐欺が,ここ1年で急増している」---。そう指摘するのはRSAセキュリティの山野修社長。その背景には「闇金融業者のようなアンダーグラウンドの社会勢力が,この分野に進出し始めた」(山野氏)ことがあるという(聞き手は中田 敦=ITpro)。


最近のセキュリティ界の動向をどう見ていますか。

写真●RSAセキュリティの山野社長
写真●RSAセキュリティの山野社長
[画像のクリックで拡大表示]
 昨年(2007年)の3~4月ごろから,日本の金融機関を騙ったフィッシング詐欺が徐々に増えています。従来もフィッシングは話題になっていましたが,昨年までは,日本でそう大きな事故(インシデント)は発生していませんでした。

 最近特に増えているのは,金融機関を騙って個人情報を集めるという手口ですね。この場合,目的はオンライン・バンキングにログインするユーザーのIDやパスワードを盗み出すことではありません。「有利な条件でお金を貸します」といったメールを送りつけて,お金に困っている人の個人情報を集めることが目的になっています。

 そういった個人情報は,闇金融業者(法律に違反する高い金利でお金を貸し付ける非認可の金融業者)の手に渡っています。闇金融業者は,そうやって集めた個人情報を基にお金に困っている人に直接電話をかけたり,実際にお金を貸し付けたりしているのです。

日本の金融機関を騙ったフィッシングWebサイトも増えています。

 この1年で,「フィッシング目的に使用するWebサイト」を作成するツールの日本語対応が進んだためです。日本語を読めない海外のハッカーでも,ターゲットとなる銀行のURLをツールに入力するだけで,その銀行のサイトを丸々コピーして,フィッシング・サイトを作れるようになったのです。フィッシング・サイトはそういったツールで作られているケースがほとんどです。

 このような事態に対応してRSAセキュリティでも,金融機関に成り代わってフィッシング・サイトをシャットダウンするという「RSA FraudAction」というビジネスを日本でも開始しました。金融機関を狙ったフィッシング詐欺が発生した場合に,各国の警察やISP(インターネット接続事業者)などと連携して,フィッシング・サイトを閉鎖するというサービスです。

 現在,世界の各地に監視センターを設けており,24時間体制で15言語に対応したサービスを提供しています。金融機関から連絡を受けると,センターのメンバーがロシア,アフリカ諸国,中国などにあるプロバイダや大学に連絡をします。大学とわざわざ言いますのも,大学の中にはいい加減に管理されているサーバーが非常に多く,乗っ取られるケースが大変多いからです。

そのサービスは,既に実績が出ているのですか。

 米国では4年半前に開始したサービスですが,これまでに世界中で6万サイトを閉鎖させています。サイト閉鎖にまで要する時間は平均5時間で,速い場合は通報から5分で閉鎖に至ったこともあります。

 日本でも,みずほ銀行や三井住友銀行,りそな銀行,ジャパンネット銀行,ソニー銀行,新生銀行,野村證券,JCBなどが,RSA FraudActionを既に利用しています。最近,「●●銀行を騙るフィッシング・サイトに注意してください」と発表されるケースが増えていますが(関連記事:「ゆうちょ銀行」をかたるフィッシング出現,暗証番号を入力させる),われわれの顧客企業の場合はそういう発表がほとんどありません。それは,警告が告知される前にフィッシング・サイトを閉鎖させているということです。

 フィッシング詐欺に関しては金融機関も被害者なのですが,ユーザーから「詐欺にあった」と苦情がくれば,対応せざるを得ないのが実情なのです。

金融機関としても,ユーザーの保護策を講じる必要があるということですか。

 ここ1年で,オンライン・バンキングの認証に「リスク・ベース認証」を採用する金融機関が増えました。リスク・ベース認証とは,ユーザーが何時頃に,どの地域,どのIPアドレスからオンライン・バンキングを利用するのか,トランザクションを常に監視し,普段とは異なる種類のアクセスがあった場合に「リスクの高いログイン」として警戒するという技術です。ユーザーの個人情報が盗まれた場合のリスクを軽減させる目的で導入されています。

米RSA Securityは2007年に,ストレージ・ベンダーの米EMCに買収されました。

 2007年5月には,新しい製品として「統合ログ管理ソリューション」を発表していますが,これこそEMCとのシナジーが現れたものだと思っています。

 企業の情報システム部門では,様々なレイヤーでログを記録しています。ネットワーク機器でも,OSでも,ミドルウエアでも,アプリケーションでもログを記録しているでしょう。これらのログは,統合的な管理がされていないのが実情です。これでは,セキュリティ基準に反するアクセス行為が発生したとしても,各種のログを個別に分析しなければ,どのようなアクセス違反が発生し,それがなぜ起こったのか把握できません。

 内部統制,IT統制の観点からも,統合ログ管理の機運は高まっています。「自分たちが不正を働いていない」ということを証明するためには,正しく管理された記録が不可欠だからです。もっとも,ログの記録のためには,膨大なストレージが必要になります。ログ管理のソリューションをストレージも含めて提案できるという点で,RSAセキュリティとEMCの組み合わせは理想的だと感じています。