9月に入り、ドコモ口座への不正送金について多くのメディアで取り上げられ、話題になり金融機関での 不正利用 に関する発表がつづいた。
多くのメディアで取り上げられているように、別の人物になりすまし口座開設が出来てしまう点や、なりすまして預金口座の送金が出来てしまう点について、再発防止として挙げられている本人確認の仕組みなど、システムのセキュリティ性の見直しや24時間365日体制での監視体制の強化など、対応は早急に必要である。
今回、特に話題になっているが不正利用という点においてはこれまでも起きていたことであった。
これまでの不正利用について状況を確認しつつ、利用者が出来る今後の対策について考えてみた。
不正送金( 不正利用 ) 公表金融機関
ドコモ口座への不正送金が公表されてから発表された不正送金( 不正利用 )について
| 送金先/口座 | 公表金融機関 | 発生件数 | 件数確認日 |
| ドコモ口座 | 計11銀行 イオン銀行、紀陽銀行、大垣共立銀行、滋賀銀行、中国銀行、東邦銀行、鳥取銀行、 七十七銀行、みちのく銀行、ゆうちょ銀行、第三銀行 | 145 件 | 2020/9/16 |
| PayPay | ゆうちょ銀行 | 17 件 | 2020/9/15 |
| Kyash | イオン銀行、ゆうちょ銀行 | 4 件 | 2020/9/15 |
| メルペイ | ゆうちょ銀行 | 3 件 | 2020/9/16 |
| Line Pay | ゆうちょ銀行 | 2 件 | 2020/9/16 |
| Pay Pal | ゆうちょ銀行 | 2 件 | 2020/9/16 |
| 支払秘書 | ゆうちょ銀行 | 調査中 | 2020/9/16 |
| ゆうちょ銀行 | SBI証券 | 5 件 | 2020/9/16 |
| 三菱UFJ銀行口座 | SBI証券 | 1 件 | 2020/9/16 | 件数合計 | 179 件 |
(個別調査データ)
過去の預金口座不正利用に関する情報
| 平成28年度 | 平成29年度 | 平成30年度 | 令和元年年度 | 調査開始以降の合計 | |
| 主要行 | 187 | 224 | 143 | 120 | 23,333 |
| 地方銀行・第二地方銀行 | 57 | 69 | 23 | 38 | 6,562 |
| 信用金庫・信用組合 | 35 | 55 | 22 | 10 | 2,171 |
| その他金融機関 | 213 | 193 | 103 | 52 | 12,572 |
| 合計 | 492 | 541 | 291 | 220 | 44,638 |
( 金融庁 報道発表資料データ )
今回とこれまでのデータを見て
過去のデータをさらに遡ってみると、これまでのセキュリティ対策の効果もあってか不正利用という点では平成22年をピークにその件数はかなり減少していた。
金融庁でもこれまで4半期毎に集計したものを次回より1年に1度に切り替えるとしていたほど件数が少なくなっていたところであった。
平成28年以降で見ると年平均では386件となっている。9月だけでその半数近くが発生していことになり、件数だけで見ると、異常なほどに件数が多いことが分かる。
しかし、なぜ不正利用が起こるのか確認していきたい。
不正利用 がされるケースを考える
まずは今回の不正利用の流れを確認してみる。
今回不正利用としてあげているケースは、キャッシュレス決済用口座への送金と、普通預金と思われる口座への送金である。
キャッシュレス決済用口座への送金(ドコモ口座例)
預金口座への送金(SBI証券例)
口座情報は何故、取得できたのか
前述の送金の流れで分かる通り口座からの送金など、操作が行われる場合の本人確認や、登録情報等が変更される場合の本人確認など、多くの報道でもあげられている通り本人確認は不足していたように思われる。
システム側の対応はゼロトラストといわれる全てのアクセスを疑うことを前提とし、不正アクセスは起きるものと考え、それに対応するものである。その為、本人確認の仕組みを組み込むことは重要である。
しかし、利用者でも何か出来ることはないのだろうか。
それを考える為、一番初めに起きている「何らかの方法で入手した口座情報」とは、どのように取得されたのかを仮説を立てて考えてみる。
以下は報道されいてる内容や、個別に収集した情報からサイバー攻撃手法から口座情報を取得した仮説となります。
銀行口座、証券口座の情報を何らかの方法で取得されたことを単純に考えると、以下2つの流れが考えられる。
・金融機関から情報を窃取した
・利用者から情報を窃取した
銀行、証券口座情報を不正アクセス(リバースブルートフォース攻撃)で取得
金融機関から情報を窃取したとなると、単純に以下のことが考えられる。
・銀行側、証券会社側から内的要因で情報が流出した。
・情報取得を目的とした者が、銀行側、証券会社側に不正アクセスし窃取された。
不正アクセスをされた場合については、「リバースブルートフォース攻撃」ではないかという話もあがっていた。
リバースブルートフォース攻撃とは
固定のパスワードを入れ、ユーザーIDを1文字づつ試していくような攻撃である。
例えば、パスワード「1234」というものに対し、IDを「0001」、「0002」、「0003」と試していくものになる。
今では一般的であると思うが、パスワードを何度か間違えるとロックがかかってしまうシステムがある。
リバースブルートフォース攻撃はロックされることを回避するため、 パスワードを変えずにIDを変え、1つのユーザーIDで、パスワードの間違えは1回しか発生しないようにして行う攻撃である。
この攻撃でネットバンキングなどのシステムにログインし、口座情報を取得するというものだ。
しかし、各金融機関から情報が流出したことはないと、公表されてる。
上記仮説の場合、IDのパターンを何度も試す為、攻撃者も人の手では行わず、専用のツールなどを利用する為、機械的なアクセス(短時間で数多いアクセス)が発生する。
その為、SOC(セキュリティオペレーションセンター)や、MSS(マネージドセキュリティサービス)などのセキュリティ監視を行っていれば、検知することが出来き早期対処が可能である。
当然こうした体制は金融機関では実施されていると考えられ、各金融機関から情報が流出したことはないと公表されてるところも見ると、今回は該当しないのではないかと思う。
利用者に直接攻撃を行い口座情報を取得
利用者から情報を窃取する場合、以下のことが考えられる。
・物理的に口座情報を窃取
・利用者のPCやスマートフォンなどへ攻撃または詐欺的行為を行い取得
物理的に窃取されている場合、認識もしやすい為、今回の場合は該当しないと考えられる。
ショルダーハッキング(口座情報を入力する操作を覗き見する方法)も考えられるが、利用者が口座情報を入力するような場所に行って、行われることが考えられ今回のように多い件数をこなすには時間がかかる為、今回は該当しないと考えられる。
もう一方の利用者のPCやスマートフォンなどへ攻撃または詐欺的行為を行い取得することを考えると、以下のことが考えられる。
①フィッシング詐欺による口座情報の取得
不正利用者が口座情報を取得する為、作成した金融機関などの公式Webサイトに似せたサイトまたはメールで、口座情報などを取得する方法である。
一部報道でも昨年、地銀のフィッシング詐欺サイトが多く確認されていたと報道している。
フィッシング詐欺サイトへの誘導される方法はいくつかあるが、今回あげたケースは 「システムセキュリティーのアップグレード」などのメールを受信し、メールにあるリンクをクリックすると地銀の偽サイトに誘導されるというもの。
そして、偽サイト上で生年月日や氏名、電話番号に加え、暗証番号や口座番号といった情報を入力するような形で盗みとるというもの。
②マルウェアによる口座情報の取得
ソフトウェア型の「キーロガー」というものを利用者のPCなどに侵入させ、PCなどに入力した内容を盗み取るもの。
キーロガー自体、本来はこうした目的のものではないが、マルウェアとして利用されることもある。
侵入させる方法は、フリーソフトや偽アプリ、メールに添付されたファイルを開くことで侵入させることが多い。
③WiFi通信を傍受し口座情報を取得
家庭用のWiFiや、公衆用のWiFiを傍受し口座情報を盗み取るもの。
無線が届く範囲であればだれがつながっているかは、繋げているだけでは気づかない。
口座情報を取得する為には不正利用者の労力が多く必要となる為、今回のケースには該当しないように考えられる。
利用者が出来る今後の対策
今回の不正利用から、当ブログ担当が考えられる攻撃を確認してみた。
これをもとに今後不正利用を受けない為、利用者はどうすべきなのだろうか。
■何か操作をする前にメールや、参照しているWebサイトのアドレスを確認する。
偽サイトに誘導されること、変なソフト(マルウェアなど)をダウンロードさせられることを防ぐため、情報入力や、ダウンロードと何か操作をする前にはそのアドレスを確認することが大切である。
会社名を名乗るものであれば、該当の会社の公式サイトを確認し、アドレスを確認する。又は、情報入力に関する案内などを出している当のお知らせを確認する。
■利用PCなどにセキュリティ対策ソフトの導入と、ソフトの最新化
メールや、Webサイトを閲覧をしているうえで注意していてもアクセスしてしまうこともあると思います。
変なソフトが侵入しても対処できるようにセキュリティ対策ソフトを入れておくことをお勧めする。
さらに、導入後は定期的にソフトの最新化(アップデート)をしておくことをお勧めする。
日々マルウェアは進化している為、最新の情報でソフトが動けるようにしておくことが必要である。
■パスワードはこまめに変更する
現代ではパスワードや暗証番号を多くの場面で使うと思いますが他のIDとの使いまわし、誕生日など類推されやすい番号の使用などせず、こまめにパスワード変更をすることをお勧めする。
漏洩したログイン情報等は、漏洩したことを分かりづらくする為、漏洩してから時間をおいて利用されることがある。被害にあっていないから大丈夫だと思い同じパスワードを長く使っていると、不正利用されることもある。
※今回のケースでもパスワード変更をすることで、被害を抑えることが出来る可能性もある。
■WiFi利用時にはセキュリティ対策、保護されているものであることを確認する
WiFiを利用する際は、接続しているWiFiが
・「セキュリティ保護あり」と表示されているか
・鍵マークがついているか
・セキュリティという欄に「なし」となっていないか
を確認する。
なっていないものを利用している場合は、利用をやめセキュリティ保護のあるものを使用する。
※WiFiでセキュリティに関して確認できれば暗号化方式を確認する。暗号化方式が「WEP」となっていた場合、「WPA」、「WPA2」を利用するようにする。
「WEP」は早くて数分、しかもスマートフォンでも暗号化キーを解読できてしまうほどまで解析されている為、WPAが利用で切るのであれば、WPAにする。
その他の参考対策
家庭用IPS(侵入防御システム( Intrusion Prevention System))の導入
今ではIoTとして家電などの接続も多くなっているホームネットワーク。ネットワークの発展と共にインターネットバンキングなどの個人向けネットサービスも増え、ホームネットワークのセキュリティという部分も対策は必要になっています。又、テレワークも多くなり、家庭用のPCに会社のデータがなんてことも。
その為、セキュリティ対策ソフトを導入はもちろん、家庭用のIPS(侵入防御システム( Intrusion Prevention System))を導入し、機械的にフィッシング詐欺サイトへのアクセスを遮断するということもお勧めする。
家庭用ルーターの管理
家庭用のルーターなどは、初期設定のログインID、パスワードをそのまま利用しがちであるが、これはルーター自体に不正侵入されるリスクが高い。その為、ID、パスワードは個別のものに変更することをお勧めする。
又、脆弱性も見つかることもあるため、ファームウェアアップデートも定期的に実施することをお勧めする。
まとめ
クレジットカードの不正利用など、報道されていることもある。不正利用は我々が把握できていないところで、これまでも発生してきている。企業側はシステム的な対応を行ってきており、件数としては少なくなりつつあるが、会社の体力としてセキュリティ対策に予算を多く割り当てられない企業も多い。
システム的な問題は利用者は何もできないが、ネットワーク技術も進化し、遠隔でやり取りできるデータ量も多くなり、PCやスマートフォンに保管されるデータの種類も多くなっている。
SNSなど自ら発信するサービス広がった今、利用者も自分の持っている情報、開示している情報を注意しなければならないのではないか。
発表されている調査によると、日本人はSNSなどで個人情報が収集されることへの意識低いという結果も出ている。
低い日本人の個人情報収集の認識 ~ 世界6カ国調査(ジェネシス・ジャパン)
https://scan.netsecurity.ne.jp/article/2020/09/04/44525.html
システム側の対応はもちろん最大限実施してもらう必要がある。これに合わせて、我々利用者も自身が扱う情報は十分に注意しなくてはならい。
Written by CYBERFORTRESS, INC.
Tweet
関連記事
よく読まれている記事
