1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第5回 基本的な対策と情報収集がキモ! ネットバンキング不正送金被害を防ぐポイントについて聞いてみた
このエントリーをはてなブックマークに追加

辻 伸弘のセキュリティ防衛隊

第5回 基本的な対策と情報収集がキモ! ネットバンキング不正送金被害を防ぐポイントについて聞いてみた(2/3)

被害のきっかけはどこから?

★ 手口や最新動向について教えていただきましたが、ユーザーが被害に遭うきっかけはどういうものでしょう?
辻 伸弘隊長

フィッシングもマルウェア感染も、被害に遭うきっかけは、大きく以下のように分類できます。

(1)メール本文に記述されたURL。ユーザーがURLをクリックすると偽サイトや攻撃サイトに誘導される
(2)メールの添付ファイル。ユーザーがファイルを開封するとマルウェアに感染する可能性がある。この際、マルウェア本体の実行ファイルが偽装されて添付されるパターンや、ソフトウェアの脆弱性をついた不正なコードが記述されたファイルが添付されるパターンなどがある
(3)Webサイトの改ざん。ブランドがありユーザーがたくさん集まるサイトや、標的型攻撃などにおいて、ターゲットの行動パターンが調べられた結果、よくアクセスする傾向があるサイトなどが改ざんされ、マルウェアが仕掛けられる
(4)(3)に関連して、正規のソフトウェアのアップデートサイトの改ざん。ソフトウェアの利用者をターゲットに、当該ソフトのアップデート機能を悪用してマルウェアに感染させようとする

★ 被害経路はメールだけではないのですね?
辻 伸弘隊長

そうですね。あと、上述したように、マルウェアには、ネットワーク経由で新しい機能がアップデートされるという特徴があります。例えば、国内にマルウェアに感染したパソコンがたくさんあって、ある日、攻撃者がネットワーク経由でマルウェアにMITB機能を備えたモジュールを一斉にアップデートするといった可能性は十分に考えられます。ですから、ここに紹介した以外にも、今後、思いもよらないような手口が出現することがあるかもしれません。

では、ユーザーとしての対策は?

★ では、ユーザーとしての対策を教えてください。
辻 伸弘隊長

はい。一点目は、フィッシング対策です。これについては、上述した「見分ける」ためのポイントに加え、前回の記事でも詳しく紹介しています(→参考)。また、金融機関から口座番号や送金に必要な情報をメールで尋ねてくることはないので、そういう点に気をつけることも大事です。

二点目は、今となっては完璧な対策とはいえませんが、基本的なマルウェア対策です。パソコンのOSを最新の状態に保つことや、最新のセキュリティソフトを利用して、マルウェアの定義ファイルを常に最新に保つようにすることです。

★ マルウェア対策ですね。他にポイントはありますか?
辻 伸弘隊長

そうですね。三点目は、自分のパソコン内のソフトウェアの脆弱性が狙われる攻撃に備えるため、ソフトウェアを最新の状態にしておくことです。これについては、そもそも自分が使っているソフトが何なのか分からないという人もいると思うので、個人で使える無料のバージョンチェッカーを利用するという方法もあります。

そして、四点目は、追加のセキュリティ対策として、2要素認証や、ログイン時間や取引内容をメールで通知してくれるサービスなどが提供されている場合は、積極的に利用することです。

★ 他にはどんなポイントが挙げられるでしょう?
辻 伸弘隊長

はい。五点目は、草の根的な対策になりますが、自分が利用する金融機関のWebサイトを見て欲しいということです。最近の金融機関は、特にメガバンクなどではサイト上にセキュリティ対策の解説コンテンツが掲載されていて、これがとても分かりやすく書かれています。万が一の緊急連絡先を知ることもできるので、金融機関のWebサイトは、一度、きちんと確認しておくのをおすすめします。

また、金融機関によっては、独自のセキュリティ対策を提供しているところもあります。

★ 具体的にはどういうことでしょう?
辻 伸弘隊長

はい。例えば、今のところ、MITB攻撃へのユーザー側の対策というのはほとんどなくて、金融機関側の対策が不可欠です。MITB攻撃への対策は、本来であれば、独立したハードウェアを用いて、通信内容が改ざんされていないかを確認する仕組みである「トランザクション署名」という対策が必要です。しかし、トランザクション署名ではないのですが、スマホアプリを用いて取引内容を確認する仕組みを提供している金融機関があります。

これは、自分がパソコンで振込処理をすると、自分が登録しているスマホのアプリに通知が送信されてきて、もし、通知内容に覚えがなければ送金処理を却下できるという仕組みです。そういう機能を提供している金融機関があれば、積極的に利用するというのも一つの考え方です。そのためにも、普段から自分が利用する金融機関のWebサイトはよく確認しておくことが大切です。

★ なるほど。他にポイントはありますか?
辻 伸弘隊長

そうですね。六点目は、フィッシングもマルウェア感染も、パソコンを使うからリスクが高まるという点を逆手にとり、金融機関が公開する公式のスマホアプリを利用し、送金処理などの重要な取引はスマホアプリを使って行うという考え方もあります。

今後、スマホやスマホアプリを標的としたマルウェア攻撃などがあると、この考え方は通用しなくなるものの、例えば、スマホアプリでしか振込をしないという風にすれば、フィッシングメールに引っかかるリスクは減らすことが期待できます。パソコンでフィッシングサイトに誘導される可能性と、スマホアプリがマルウェアに汚染されている可能性を比較すると、今のところ、スマホアプリのほうがリスクが低いということが言えると思います。

★ リスク低減という意味で、何かアドバイスはありますか?
辻 伸弘隊長

はい。被害に遭うことを前提とした対策といえるかもしれませんが、例えば、一口座あたりの預金額に上限を設けたり、送金の限度額を引き下げるという考え方もあります。あるいは、インターネットバンキングのサービスを一切使わない口座を一つは持っておいて、貯蓄用にはそちらを利用するといった考え方もあります。

また、使っていないクレジットカードやインターネットバンキングのサイトなどがあれば、たまにはログインして、知らない間に不正利用や不正送金されていないかを確認することも忘れないようにしたいです。基本的には、使わなくなったカードや口座は解約するのがよいと思います。管理しきれないものをいつまでも残しておかないというのも大事な考え方だからです。

関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji