ネットバンキング口座を狙い、不正な手段を用いて遠隔から預金を他の口座に移し変えたり払い戻したりする、いわゆる「ネットバンキング不正送金」(以下、不正送金)による被害が国内で急増している。その中でも特に最近増えているのが、法人ユーザーの被害である(関連記事:電子証明書を盗むウイルスに注意、法人狙った不正送金が急増)。
「個人から法人へ」攻撃のターゲットがシフト
こうした法人ユーザーを狙う攻撃の動きは、セキュリティベンダーなどが警戒を呼びかけ始めた春以降、収まるどころかさらに加速している。こう分析するのは大手セキュリティベンダー、トレンドマイクロの岡本勝之氏(マーケティング戦略部 コアテク・スレットマーケティング課 シニアスペシャリスト、写真)だ。
「5月末ころから明らかに“潮目”が変わりつつある。攻撃者のターゲットが個人から法人へシフトし、本格的に攻勢をかけ始めていることが、攻撃手法の変化などから見て取れる」(岡本氏)。
なぜ、攻撃手法を見ることにより個人ではなく法人ユーザーを狙った攻撃が増えていることが分かるのか。それは、「電子証明書」(SSLクライアント証明書)を盗み出して悪用するという特徴を持つウイルスによる攻撃が増えているためだ。
法人向けネットバンキングサービスでは、利用金額や限度額が大きいこともあって、(1)証明書を導入したPCにのみ利用を限定できる、(2)偽サーバーに誘導したり、偽画面経由でログイン情報を盗んだりする攻撃を受けにくい――などの理由により、認証手段として電子証明書を使うケースが多い。これが個人向けのネットバンキングサービスとの大きな違いだ。
個人向けのネットバンキングサービスでは、電子証明書を使うことは稀だ。ユーザーの利便性やコスト、セキュリティのバランスなどを考えて、ID・パスワードとワンタイムパスワードなどを組み合わせた形の二要素認証を使うケースが一般的である。
