ネットバンク不正送金

日経新聞平成25年8月9日版。警察庁によると、ネットバンク不正送金が、また、急増し、7月までの7ヶ月間で398件、3億6千万円の被害が発生、過去ピークの2011年度を既に上回ったそうです。IDやパスワード(PW)を盗むウィルスに感染しているPCは、少なくとも1万5千台あるとのことです。ウィルスを仕込まれた企業や官公庁のサイトに閲覧して感染したことが考えられ、実際には、はるかに多くのPCが感染していると思われます。感染したPCで、ネットバンキングを利用しようとすると、偽のログイン画面が現れ、IDやPWが抜き取られるという典型的なフィッシング手口です。警察庁は5月1日付で注意喚起の表示を同庁サイトに掲載するとともに、メディアを通じて警鐘を発し続けています。

金融庁は、偽造キャッシュカード等の被害状況を3カ月毎に調査報告しています。ただし、5か月遅れの発表で、最新は昨年末時点の状況を発表した5月24日付のものです。それによると、平成24年度1-12月の9カ月で被害件数91件、平均被害額75万円です。前年度(1-12か月)は、162件、平均248万円の被害でした。犯罪者達は、活動を活発化させては休み、しばらくすると、また活動します。手口も毎回レベルアップさせながら、短期集中的に活動します。とても金融庁の集計資料は参考になりません。金融庁が今年3月末時点の被害状況を公表する頃には、今の攻撃は下火になっているでしょう。

といって、金融庁がこの件で何もしていない訳ではありません。5月に被害が増加し出したことから、6月上旬には金融機関に対策強化を要請し、OTP、メール通知、顧客向け注意喚起などを実施するように呼びかけています。問題は、利用者の自己防衛に関する意思と能力であり、とても民間金融機関の手に負える話ではないことです。フィッシングサイトの真贋チェックやOTPにしても完璧な防御は不可能です。金融機関は、可能な範囲の防衛手段を顧客に提供するしかありません。それでも、顧客被害の70%以上を金融機関が補償しています。

別の視点で考えると、月5千万円の被害額とすれば年6億円です。業界としては、やたら防衛策を施して何10億円もかけるより、被害補償してしまった方が安上がりです。犯人達は増長するでしょうし、信用秩序に問題が出るでしょうが、短期的には放置、補償、そして被害者との取引停止という選択もありえます。今年4月に起きたある地域でのフィッシングサイト騒動を見る限り、地方銀行のセキュリティ・スキルは、攻撃者に太刀打ちできるレベルでは全くありません。投資するだけ無駄に思えます。

トレンドマイクロによればMITB攻撃ツールのCitadelが日本で蔓延していると7月に警告しています。欧米9か所に分散した攻撃サーバーから7月16日〜21日の6日間で約2万件の攻撃が発生していることが確認されています。技術的には様々な防御策が開発されていますが、ソーシャル・エンジニアリングを含めて、攻撃側の方が選択肢は多く、技術進歩も早く、技術交流態勢も揃っています。いたちごっこにもなりません。現金を入手する場所を抑え込むことが効率的ですが、それでも、裏をかかれるでしょう。

議論のポイントが二つあります。

第一は、ウィルスを拡散させる企業や官公庁のサイト、それを、漫然と放置するプロバイダー、セキュリティ対策に無関心な個人にどう対応するか。車と同じように生活必需品であるが使い方次第では、他者に危害を与える存在となったインターネットを適切に使う為の社会的セキュリティ・ルール策定(法制化)の是非を考えるべきでしょう。言論表現の自由、通信の秘密保護というだけで思考停止する段階を越えつつあります。

第二は、人的側面の防御策です。セキュリティ・ベンダーの話を聞くと、日本の顧客は丸投げで、完璧な防御を要求します。何も被害がなければ、当り前、何かあれば「どう責任を取るのか?」と迫る。それでいて、保険程度にしか考えておらず対価は低い。韓国でも、セキュリティ担当者のモラールや処遇が問題となっており、金融当局はCISOをCIOとは別組織とし、独立した権限を与え、セキュリティ担当者の処遇を改善させるべく、制度改正を検討しているそうです。例えば、大学院のセキュリティ学科で修士号を取らせる仕組みを用意するなどです。韓国にはセキュリティ修士という学位が存在するというだけで、日本人は驚きます。

韓国の電子金融取引法に基づく電子金融監督規程では、金融機関は、総役職員数の5%以上をシステム要員として配置し、その5%以上はセキュリティに配置することを義務づけています。セキュリティ予算も全IT予算の7%以上を確保するように定めています。わが国はどうでしょう。全役職員数の2%程度がIT要員、その1%未満のセキュリティ要員が実情です。狙われない方がおかしな話です。

警察は、サイバー攻撃やインターネットを使った犯罪を防止すべく体制を整備しつつあります。大学、セキュリティ・ハウスなどとの協力体制整備も進めています。金融業界が余り協力的でないと嘆きますので、筆者はこう慰めます。「非協力的なのではない。協力したくとも、担当者がいないので、できないのです。どうしても協力させたいのなら、不正アクセス禁止法ほう助罪(あるかないか知りませんが)で1、2行摘発することです。途端に全社が協力しますから。ただし、役立つかどうかは判りません。」わが国の情報セキュリティの問題は、自助しようとする考えがなく、他人任せであることは確かです。しかし、このことはIT全体に関しても言えます。日本人は見えない脅威にとても鈍感か、無意味に反応し過ぎるかのどちらかです。リスク管理教育が必要だとしみじみ思います。

                                                          (島田 直貴)