巧妙化するオンライン詐欺との戦い






 日本の預金者を、フィッシングやスパイウェアといった手口を使用したオンライン詐欺が狙っている。さらに巧妙化した手口である、中間者攻撃やトロイの木馬にも対抗可能な新たなセキュリティ対策について解説していく。


●預金者を狙う第三の犯罪――オンライン詐欺

 国内で預金を狙った犯罪といえば、振り込め詐欺や偽造・盗難キャッシュカードが最近多いですが、オンライン詐欺という第三の犯罪も問題になりつつあります。

 ネットバンキング(オンラインバンク)を狙ったオンライン詐欺では、ユーザーからIDおよびパスワードを盗んでから預金を不正に引き出す手口が現在主流になっています。その手口には例えば、銀行を装った偽メールや偽のWebサイトでだます「フィッシング」や、キー入力やマウス操作を盗聴する「スパイウェア」があります。

 特にスパイウェアについては、日々新種が誕生している上、感染経路も多岐にわたります。このため、自分が使用しているPCや携帯電話がいつ感染するか分からずに、不安な思いをしている方も多いのではないでしょうか。

 国内の被害状況を見ると、ネットバンキングの口座数は2005年度末で約1630万口座(*注)にまで普及している割には、オンライン詐欺の被害は2005年度で37件/約3000万円と、今のところは深刻化していません。

*注 金融情報システムセンター「金融機関業務のシステム化に関するアンケート調査

 しかし、振り込め詐欺に対する認知が高まり、ICカード/生体認証による偽造・盗難キャッシュカード対策が進んでいけば、今後相対的にオンライン詐欺の被害が増えてくる可能性があります。

預金を狙った犯罪の種類   被害件数   被害金額
振り込め詐欺(2005年)   21612件   約251億5100万円(警察庁「「振り込め詐欺(恐喝)」の認知・検挙状況等について」による)
偽造・盗難キャッシュカード(2005年)   3668件   約23億4300万円(警察庁「平成17年の犯罪情勢」(PDFファイル)による)
オンライン詐欺(2005年度)   37件   約3000万円(全国銀行協会「「インターネット・バンキングによる預金等不正引出し」に関するアンケート結果」(PDFファイル)による)
 
 
●既に被害が深刻化している海外の状況

 一方海外では、ネットバンキングを狙ったオンライン詐欺の被害が、日本よりも一足先に深刻化しています。

 例えば英国では、2005年の被害金額が前年比でほぼ倍増し、2320万ポンド(約46億円)に達しました。これは日本の被害額に比べ100倍強の規模であり、オンライン詐欺の被害が急激に深刻化していることが分かります。

 また米国では、ネットバンキングのセキュリティに対する信頼性が障壁となって、ネットバンキングの口座数の伸びが鈍化してきています。さらに、多額のお金を預けているという意味では同様のネット証券でも、オンライン詐欺の被害が発生しています。

 もしも日本の預金者が本格的に詐欺師たちの標的にされたとしたらどうでしょう。他国と比べ、国内のセキュリティ対策が特別に優れているわけではないので、海外のように多くの被害者が生じる事態になりかねません。

●後手にまわる法律と銀行

・保護されない預金者たち

 「預金者保護法」という法律をご存じでしょうか。

 この法律は、2003年ごろからスキミングや暗証番号盗撮などの犯罪手口が横行し、偽造・盗難キャッシュカードの被害が急増した事態を受けて、2005年8月に制定され、2006年2月より施行されました。

 かつては、偽造・盗難キャッシュカードで被害を被っても、個人預金者が金融機関のチェック不備などの過失を証明できなければ補償されない場合もありました。それが今では預金者保護法により、逆に金融機関が「安易な暗証番号」など、個人預金者の過失を証明できなければ、原則として全額補償されるようになりました。

 一方で、ネットバンキングにおける犯罪被害については、金融機関は補償を義務付けられていません。預金者保護法は施行後2年を目途に検討が加えられることになっており、それまでの間に国内でネットバンキングを狙ったオンライン詐欺の被害が深刻化した場合、どこまで預金者が保護されるのか問題になりそうです。

・周回遅れのセキュリティ対策

 ネットバンキングのセキュリティ対策のうち、ユーザーに身近なところでは、犯罪者が通信を盗聴することを防ぐ「暗号化」や、ユーザーになりすますことを防ぐ「認証」があります。特に認証については、ユーザーが記憶しているパスワードだけで行うのでは、常に同じ文字列になるためキー入力盗聴に弱く、さらなる対策を実施している場合が多いです。

 国内のネットバンキングでよく見かける認証まわりのセキュリティ対策といえば「乱数表」があります。これは、数字がランダムに羅列してある表を配布しておき、ユーザーがネットバンキングにアクセスした際に、パスワードとして表中の指定された位置の数字を入力することで、正しいユーザーかどうかを確認する仕組みです。また、画面にバーチャルなキーボードを表示し、実際のキーボードの代わりにマウスでクリックしてパスワードを入力する「ソフトウェアキーボード」という手法もあります。

 しかし、2005年7月には、乱数表を採用している国内のネットバンキングで詐欺による被害が発生しました。また、ソフトウェアキーボードを標的に、マウス操作を盗聴したり、画面ごとキャプチャしたりするスパイウェアも登場しています。

 そこで現在は、認証のたびに毎回変化する使い捨てパスワードである「ワンタイムパスワード」が注目されています。

 ワンタイムパスワードにはさまざまな種類がありますが、その中で最も普及しているのが、一定時間ごとに変化する使い捨てパスワードである「時刻同期型ワンタイムパスワード」です(図2)。

 日本でも、いくつかの金融機関が時刻同期型ワンタイムパスワードを導入しています。中には、ワンタイムパスワードを生成表示するキーホルダー程度の大きさのトークンをお持ちの方もいらっしゃるでしょう。

 また米国では、2006年末までに公的機関(FFIEC:米国連邦機関検査協議会)が二要素認証を導入するように推奨しているため、多くの金融機関が時刻同期型ワンタイムパスワードを導入しています。本人が「知っている」パスワードに加えて、本人が「持っている」トークンが表示するワンタイムパスワードで認証を組み合わせることで、二要素認証となるわけです。

●時刻同期型ワンタイムパスワードの限界

 しかし2006年7月には、時刻同期型ワンタイムパスワードを採用している米Citibankを狙った「中間者攻撃」(man-in-the-middle attack)という新たな手口が出現しました。

 中間者攻撃とは、例えば銀行を装った偽Webサイトを用意し、預金者が使っている端末と正規Webサイトの間の通信に割り込んで不正中継を行い、通信内容を改ざんする手口です。

 ネットバンキングにおける振込取引の場合で説明してみましょう。


1. 預金者が端末に入力した「振込内容」と「時刻同期型ワンタイムパスワード」は、
2. 偽Webサイトでリアルタイムに不正な振込内容に改ざんされて、
3. 正規Webサイトで時刻同期型ワンタイムパスワードが認証されて、
4. 不正な振込内容に従って振込取引が執行されてしまいます。さらに、
5. 偽Webサイトでリアルタイムに振込取引の結果画面を改ざんされると、預金者からは正しく振込取引が執行されているように見えるため、預金者がまったく気付かないうちに被害を受けていることもあります。

 このように、中間者攻撃に対して時刻同期型ワンタイムパスワードは無力です。そもそも、中間者攻撃のようにリアルタイムに通信内容を改ざんする技術がなくても、偽Webサイトに横取りされた時刻同期型ワンタイムパスワードは、即座に人手で悪用されてしまう危険もあります。

 このように残念ながら、オンライン詐欺の手口は、ネットバンキングのセキュリティ対策よりも先を行っているのが現状です。

●ネットバンキングの将来――より根本的な対策を求めて

・巧妙化するオンライン詐欺と戦う

 オンライン詐欺の手口は巧妙化する一方です。これに対し、本人認証(本人に間違いないということを確認すること)だけで預金者を守るのは、難しくなってきているのかもしれません。

 例えば、中間者攻撃のような通信のハイジャックによって本人認証情報を不正中継されれば、攻撃者は簡単に預金者になりすませてしまいます。他にも、トロイの木馬などを用いて端末をハイジャックし、本人認証済みの端末を遠隔操作されれば、攻撃者が勝手に取引を行うことが可能になってしまいます。

 そこで発想を少し変え、ログイン時の本人認証で守れないならば、取引時の認証で守ろうという視点のセキュリティ対策が現れました。取引時の認証なので、本人意思認証(本人のやりたい取引に間違いないということを確認すること)と言ったところでしょうか。本人意思認証を実現した例として、取引ごとに変化する使い捨てパスワードである「取引連動型ワンタイムパスワード」があります。

 取引連動型ワンタイムパスワードでは、トークンに取引内容とワンタイムパスワードの組が表示されます。預金者が自分が行いたい取引に限り有効なワンタイムパスワードを使うことで、不正な取引にワンタイムパスワードを悪用されないようになっています。そのため、中間者攻撃に対しても安全です。

 このように、認証回りのセキュリティ対策を強化していくことは、トークンを使用する必要がありますけれど、巧妙化するオンライン詐欺手口に対して有効な解決策になるかもしれません。

・安全な環境に預金者を囲い込む

 銀行を装った偽メールや偽Webサイトでユーザーをだますフィッシングへの対策として、ネットバンキングでは通常、メーラーに表示される「送信者アドレス」「電子署名」や、Webブラウザに表示される「URL」「鍵マーク」「証明書」などの情報を確認するように促しています。

 しかし、フィッシング対策を実現したとしても、スパイウェア対策などの他のオンライン詐欺手口への対策がおざなりであれば、結局はオンライン詐欺の被害を受ける危険性が残ります。このように、さまざまなオンライン詐欺手口の脅威にさらされているPCの危険な環境を、安全にし、安心して利用できる状態にしていくのは簡単ではありません。

 そこで、現時点ではオンライン詐欺手口の脅威にあまりさらされていない、ケータイアプリなどの比較的安全な環境でネットバンキングを提供することも、オンライン詐欺手口に対する1つの解決策になるかもしれません。

 ただし、オンライン詐欺手口が今後どのように巧妙化していくかは予想しがたく、これまでに挙げた解決策も無効になる可能性があるため、手口や対策の動向は常に注視していく必要があります。

 また、ネットバンキングを提供している事業者によって、セキュリティへの取り組みやオンライン詐欺被害への補償には差があります。ネットバンキングをはじめとするオンラインサービスを選ぶ際には、これらも考慮して選ぶことをお勧めします。

(2006.12.27/ITmediaエンタープライズ)
[PR]

by fbitnews2006-6 | 2006-12-27 14:16 | インターネット総合  

<< Amazon.com、今年のホ... 台湾地震で国際電話に障害=う回... >>