警視庁が不正送金ウィルス無力化ソフトで感染PC8万2千台を解毒

日経新聞の平成27年4月10日号記事です。警視庁は、昨年に猛威をふるったMITB型不正送金ウィルス「VAWTRAK」を無力化するソフトをセキュアブレインと共同開発し、国内外の感染PC8万2千台の解毒を開始したと発表しました。国内4万4千台、海外3万8千台が感染していると判っていますが、今でも週に数千台が新たに感染しているということです。

VAWTRAKは、昨年5月に始めて被害が確認され、昨年検出された不正送金ウィルスの63%を占めているそうです。OTPも破る高機能を持つ、極めて危険なウィルスとして有名です。警視庁は、30代女性の被害者から感染PCの提供を受けて、不正ソフトを解析しました。その結果、海外にある指令サーバーを特定し、偽指令サーバーを立ち上げて、感染PCを操作できるようにした。そして、セキュアブレインと共同開発した解毒ソフトを注入することでVAWTRAKを無力化するのだそうです。

捜査機関は、一般的に感染PCを調査し、プロバイダー経由で感染者に注意喚起、ウィルス除去を呼び掛けるにとどまります。アンチ・ウィルス・ソフトはセキュリティ・ベンダー等が提供します。今回は、警視庁が自ら、ウィルスを無効化することが、大きな違いです。警視庁もやるものだと感心します。

これらの不正送金ウィルスは、トレンドマイクロなどではオンライン詐欺ツールと呼んでいます。昨年2月に法人ネットバンキング用の電子証明書窃取ソフトが確認され、5月には盗んだ認証情報を利用して自動的に不正送金するATS自動不正送金システムによる被害が始めて確認されました。従来は、犯罪者が盗んだ情報を使って手作業で不正送金していたのに対し、情報窃取と同時に自動で不正送金してしまうので被害が急増しました。そして、OTPも破られました。最初はZBOTシリーズというウイlルスが中心でしたが、昨年第一四半期にはAIBATOOKというウィルスが増加し、第二四半期になるとVAWTRAKが猛威をふるったのです。Windowsのグループポリシーを悪用して導入してあるセキュリティソフトを無効化してしまうという、何とも悪質なソフトです。

AIBATOOKもVAWTRAKも、どういう訳か日本が圧倒的に検出台数トップです。昨年第2四半期の検出台数でいえば、前者の98%、後者の80%が日本でした。(トレンドマイクロ) 操作当局は、日本に集中する理由を抑えているのでしょうが、公表していません。セキュリティ専門家によれば、個別不正ソフトのインストール数に応じて収入を得るPay Per Install(PPI)という犯罪者同士の協業ビジネスで金銭的利益を得ているそうです。わが国のボットネット感染PCは数百万台とも言われます。犯罪者にとっては、不正ソフトを配布するのに、誠に便利なプラットフォームが出来ているということです。

日本の捜査当局を含めた国際的な協力によりボットネット撲滅作戦が展開されていますが、まだ、その効果は十分とは言えません。警視庁は、300社以上あるプロバイダー経由で、PC利用者に注意喚起とセキュリティ対策ソフトの導入などウィルス対策を呼びかけているといいますが、筆者は自分が呼びかけられたという意識がありません。やがて、警視庁から個別にメールが届いて、「あなたのPCはボットネットの一員として犯罪をほう助している。早急にウィルス除去をして下さい。」といった警告がくるかも知れません。または、感染PCを自動監視して、プロバイダーとの接続を切るような法律ができるかもしれません。

4月17日の各全国紙が、「警視庁が押収した中継サーバーから、IDとPWなど785万件が発見された。」という報道をしました。日本だけでなく米韓台の情報を含んでいます。中には、氏名、生年月日、電話番号、クレジットカード情報もあったそうです。都内のプロキシ・サーバー運営会社のサーバーで、大手ショッピングサイトや無料通信アプリに不正ログインを試みる攻撃ツールもありました。手当たり次第にIDとPWを自動入力し、ログインに成功したID/PW5万9千件を使って、実際に不正取引が行なわれた可能性があるということです。このサーバーの利用者は中国にいますが、悪用できることを売り文句に海外にまで営業する悪質なサーバー業者が日本にもいるということです。この会社の別のサーバーからは、銀行の偽サイトも見つかっています。

冒頭の日経新聞見出しを見ると、不正送金ウィルスは、警視庁が全て解毒してくれるような印象を受けます。そこで心配になるのは、銀行の経営者達が、「良かった良かった、警察が片づけてくれた。これで、当行のネットバンキングも安心だ。余計な金を使わなくて済んだ。」と勘違いすることです。あくまでも昨年のVAWTRAKを解毒するだけです。犯罪者は、次の攻撃には別の手口でやってきます。警察等関係機関と協力して、より一層、防備を固めなくてはいけません。しかし、対策をセキュリティ担当者から上申しても、すんなり認めてくれる経営者は殆どいません。セキュリティの重要性を認識してはいるのですが、コストを含めて具体的対策の妥当性が理解できないからです。対策案をチェックする質問を連発されても担当者が説明しきれる訳がありません。ケースバイケースで急速に変化するのですから。予算を総枠管理するしかないでしょう。

金融庁は、わが国金融界のセキュリティ・レベルは国際的に見て遅れていると考えています。実際、その通りです。欧米等に比べて、実被害が少ないのは、インターネットといえども、殆ど閉鎖的に使っているからです。しかし、それでは、技術革新を限活用することができず、営業力等で国際競争力を失うだけです。今後、金融IT行政では、一段とセキュリティに関する指導が厳しくなる筈です。新サービス認可の前提条件になることも考えられます。

どうすれば、経営者にセキュリティの重要性と投資の実行を促すことができるのでしょうか?金融検査や格付けなどで、経営陣に迫るしかないのでしょうか?理想的には、セキュリティ・リスク・ポイントの全体像と各リスクの頻度と影響度を示して、それぞれに対する客観的な必要コストを見積もって、優先付けすることが正論でしょう。しかし、こうした全体像を見たことがありません。どうしてなのでしょう?セキュリティ・ベンダーは、事象毎にコンサルティングや大げさな対策を提案するだけです。具体的な全体マップを見せてくれません。学者が頼りにならないのであれば、NPO的なセキュリティ・ハウスが必要だと思っています。

                                  (平成27年4月17日 島田 直貴)