図・法人向けネットバンキングで行われた不正送金の手口
図・法人向けネットバンキングで行われた不正送金の手口
[画像のクリックで拡大表示]

 シマンテック日本法人は2014年4月10日、国内銀行で同年3月末に、法人向けネットバンキングで不正送金事件が発生していたことを明らかにした。同社は国内銀行に対し、当面のセキュリティ対策を示して注意を喚起している。
 
 シマンテックの調査によれば、法人向けネットバンキング利用者のPCにマルウエアが感染。PCにインストールされた電子証明書とその秘密鍵、IDとパスワードが盗み取られ、不正送金に使われたとみられる(図)
 
 国内銀行の多くは、法人向けネットバンキングの標準的な認証手段として、パスワードと電子証明書による2要素認証を採用している。電子証明書と秘密鍵はWindows OSのユーザープロファイルに格納され、Internet Explorerを通じて利用できる。シマンテックは旧ベリサインの事業として、法人ネットバンキング向け電子証明書の発行では国内で9割以上のシェアを持つという。

 この電子証明書には、証明書と秘密鍵のエクスポートを禁止できるフラグがあるが、国内銀行のポリシーによっては、このフラグが無効になっている場合がある。ネットバンキングを利用する企業の社内PCの間で証明書を移動できるようにするためだ。今回、シマンテックが確認した不正送金の事例でも、禁止フラグは無効になっていた。この場合、PCに侵入したマルウエアが管理者権限を取得すれば、マルウエアは容易に電子証明書を盗み取れる。
 
 シマンテックは当面の対策として、国内銀行に対し、電子証明書のエクスポート禁止フラグを有効にするようアドバイスしたという。

 今回の事例とは異なるが、Windows OSの仕様上の不備を突いて禁止フラグを無効化できるマルウエアも存在する。シマンテックは根本的な対策として、IPアドレスや利用時間帯などを基に不正リスクを判定するリスクベース認証や、利用者端末へのセキュリティソフトの導入、ICカードやUSBトークンの採用を国内銀行に提案している。