• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

News & Trend

法人狙う「電子証明書横取りウイルス」の正体、感染させる手口も進化

斉藤 栄太郎=日経コンピュータ 2014/08/06 日経コンピュータ

 ネットバンキング口座を狙い、不正な手段を用いて遠隔から預金を他の口座に移し変えたり払い戻したりする、いわゆる「ネットバンキング不正送金」(以下、不正送金)による被害が国内で急増している。その中でも特に最近増えているのが、法人ユーザーの被害である(関連記事:電子証明書を盗むウイルスに注意、法人狙った不正送金が急増)。

「個人から法人へ」攻撃のターゲットがシフト

 こうした法人ユーザーを狙う攻撃の動きは、セキュリティベンダーなどが警戒を呼びかけ始めた春以降、収まるどころかさらに加速している。こう分析するのは大手セキュリティベンダー、トレンドマイクロの岡本勝之氏(マーケティング戦略部 コアテク・スレットマーケティング課 シニアスペシャリスト、写真)だ。

写真●トレンドマイクロの岡本勝之氏(マーケティング戦略部 コアテク・スレットマーケティング課 シニアスペシャリスト)
[画像のクリックで拡大表示]

 「5月末ころから明らかに“潮目”が変わりつつある。攻撃者のターゲットが個人から法人へシフトし、本格的に攻勢をかけ始めていることが、攻撃手法の変化などから見て取れる」(岡本氏)。

 なぜ、攻撃手法を見ることにより個人ではなく法人ユーザーを狙った攻撃が増えていることが分かるのか。それは、「電子証明書」(SSLクライアント証明書)を盗み出して悪用するという特徴を持つウイルスによる攻撃が増えているためだ。

 法人向けネットバンキングサービスでは、利用金額や限度額が大きいこともあって、(1)証明書を導入したPCにのみ利用を限定できる、(2)偽サーバーに誘導したり、偽画面経由でログイン情報を盗んだりする攻撃を受けにくい――などの理由により、認証手段として電子証明書を使うケースが多い。これが個人向けのネットバンキングサービスとの大きな違いだ。

 個人向けのネットバンキングサービスでは、電子証明書を使うことは稀だ。ユーザーの利便性やコスト、セキュリティのバランスなどを考えて、ID・パスワードとワンタイムパスワードなどを組み合わせた形の二要素認証を使うケースが一般的である。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 岡本氏によれば、実際に「VAWTRAK」(ボート...
  • 1
  • 2
  • 3
  • 4
  • 5

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【夏休みスペシャル 2017】

    エンジニアが知っておきたい夏バテ撃退法

     暑い日が続く2017年の夏。「夏バテ気味だ」と感じる読者は多いかもしれない。なかには猛暑で体力を奪われ、食欲が落ちている人もいるだろう。そこでこの夏休みスペシャルでは、IT企業でエンジニア向けの保健指導を務める金橋治美氏(保健師)に、夏バテを解消する夏休みの有意義な過ごし方を聞いた。

ITpro SPECIALPR

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る