ネットバンキング不正送金が多発 (金融庁が注意喚起)


令和元年11月19日付の金融庁サイトです。https://www.fsa.go.jp/ordinary/internet-bank_2.html

フィッシングやスパイウェア等による預金の不正送金事案が多発しているとし、主な手口を紹介するとともに、対策の方法を説明しています。

ネットバンキングの不正送金被害は、2015年の1561件が、その後、763件、367件と減り、昨年は343件にまで減っていました。送金限度額を抑え、銀行が無償でスパイウェア対策ソフトを配布し、OTPを導入し、不正検知の拡充などの対策を施したことが効果を上げたと思っていました。ただ、来年の五輪を控えて、関係機関からはより一層の注意を求める広報が行なわれています。そんな折に、今年8月には前月比で倍増し、9月には10倍増の436件と2012年以来の最多となってしまいました。

警察庁は、10月24日に同庁サイトとメディアを通じて注意喚起を行いました。しかし、メディアの反応は鈍かった。共同通信が26日記事で報道しただけ。30日のNHKニュースでようやく筆者も何か起きていると気付いた次第です。11月に入ってから一部の地方新聞で報道があり、その後ようやく、産経や朝日が報道を始めました。普通の人は、警察庁や金融庁のサイトなど、滅多に見ません。こうした注意喚起はメディアに依存せざるをえない。しかし、メディアからすると、ほんの数%しかアクティブ・ユーザーのいないネットバンキングには、ニュースバリューがないということなのか、または、記者連中にはネットバンキング利用者が殆どいなくて、たいした影響はないと思っているのか。

一番正確に、かつ具体的に、手口や対策を説明しているのはJC3(日本サイバー犯罪対策センター)です。10月24日に注意を呼びかけています。https://www.jc3.or.jp/topics/banking/phishing.html

同センターは警察だけでなく、企業や大学・研究機関とも連携していますので最新の状況を把握しています。事案に関与した金融機関も警察やJC3などと連携しながら、各社のサイトで注意を呼び掛けていますが、利用者からすると毎度の注意喚起なので、余り意識を向けないようです。こうした中、金融庁が今回の注意喚起を行いました。一般個人が対象というよりは、同庁サイトを頻繁に閲覧するのは金融機関ですから、金融機関に対して、対顧客への認知を図るようにとの意図が強いのでしょう。

今回は、PC利用者の被害が多いのか、モバイルが多いのか公表されていませんが、セキュリティ専門家の話では、スマホが多いそうです。アンドロイドが多いのですが、iOSとのシェアを考えると、必ずしもアンドロイドの弱点を突いたとは言えないようです。SMSを使ってソーシャルエンジニアリングを駆使したフィッシングが多い。OTPや秘密の合言葉まで窃取するケースもあり、この場合はスパイウェアが仕込まれています。嫌らしいことに、URLがhttpsであるとか、jpドメインを使っているものもあり、フィッシングメールの文章も洗練された日本語なので、犯人が周到に準備しているか、日本人なのか。出し子を逮捕しても、大元の犯人は検挙が難しい。

セキュリティ専門家の間では、今回の急増は、2、3ケ月で下火になるとの見方が多い、その理由は、攻撃対象が主として対策の進んでいる大手銀行であり、犯人達がリハーサルと本格的な攻撃をする際の対象選別をしているのではないかということです。オリパラの時期に攻撃が急増するという、これまでの経験から、金融庁は全金融機関に対して、対策強化を強く求めています。できるだけ早く、脆弱性診断を行い、弱点を急いで補強するように通達を発出しています。ですから、多くの中小金融機関がセキュリティベンダーの診断を受けているのですが、既に技術者が払底して手が回らないのが実情です。

今の攻撃は不正送金ですが、来年になると、DDoS攻撃やデータ狙いも多発するでしょう。この時は、攻撃対象は行政機関や社会インフラ、大手企業に膨らみます。スピアフィッシングを警戒する意見もあります。これは、メールに潜み込み、取引の途中で割り込んで、不動産取引など大口の送金先を自分の指定先に変えてしまう手口です。こうした攻撃を集中されると、とてもわが国のセキュリティ技術者数では間に会いません。攻める方は、弱い所を選んで攻めれば良い。

対して、日本企業は、防衛産業など一部を除けば、セキュリティはベンダー任せです。ベンダーを忙しくさせておけば、攻撃の成功確率は更に高くなります。政府は、技術者不足を補う為に大学の教諭や学生まで動員しています。しかし、こうした動きは、メディアでは知らされません。そして、ウチは大丈夫だろう、ベンダーが忙しくてウチには来てくれないなどと言い訳を作っている企業が多いと思われます。金融機関にもそうしたところがあります。誰か、徹底して攻撃を抑え込む秘策を考えてくれないか、それがあれば、わが国のサイバー安保は世界に誇れる輸出産業となるのですが。それが無理なら、インシデントの早期発見と修復の即応力を強化するしかありません。その即応力も、わが国の場合は、世界平均162時間に対して223時間だという調査があります。この61時間の差に、どのような意味があるのか。我々は自分自身のインシデント対応を用意しておく必要があります。丸投げしている金融機関に自分も丸投げしていては、危なくて仕方ありません。

 

                        (令和元年11月26日 島田 直貴)