どこどこJP

English

犯罪者も進化する
~セキュリティの甘い分野に流れるオンライン犯罪~

以前に「国内外のオンライン犯罪の現状 ~ネットバンキングを取り巻く不正と対策~」でお届けしたように、アメリカではネットバンキングをターゲットに不正引き出しやマネーロンダリングが横行しました。
この対策としてFFIECガイドラインが発行され、認証強化が義務付けられた結果、IP Geolocation(ジオロケーション)を初めとするセキュリティ対策が浸透しました。(アメリカのトップ銀行5のうち4行、トップ100のうち91行がIP Geolocation(ジオロケーション)を導入しています。また、IP Geolocation(ジオロケーション)を利用した認証ソリューションを、アメリカのトップ銀行500中300行が導入しています。) この結果、犯罪者は(1)手法の高度化、(2)ネットバンク以外へのターゲットの拡大によって対抗しています。今回は、そんな海外でのオンライン犯罪の動向を中心にお届けします。

2008年3月 弊社webサイトにて掲載
1.高度化し、バラエティ豊かになる攻撃
世界的には、フィッシング詐欺が依然として猛威を振るっています。2007年には前年より130万人増の360万人がフィッシング被害を受けました。アメリカだけでも2006年7月から2007年8月までの一年間に32億ドルの損害があり、フィッシング被害が増加しています。
フィッシング詐欺サイトの40%はアジアにホスティングされており、アジアが詐欺の温床になっているということです。 また、正規サイトをハッキングして攻撃に利用するケースが増加し、初めて悪用目的のサイトからの攻撃を上回ったといいます。悪用されたサイトの中には国連サイトも含まれています。 フィッシングの他にも、世界各国の銀行をターゲットに中間者攻撃を仕掛け、銀行口座情報を盗んで2要素認証(IDとパスワード以外の経路での認証)を破ったり、商業銀行のみを狙ったりするトロイの木馬が出現しています。
さらには、悪意あるWebサイトや電子メールの閲覧だけでルータの設定を変更し、偽サイトに誘導してしまう「ドライブバイ・ファーミング」攻撃も実際に発見されたということで、犯罪はさらに高度化されています。
2.犯罪者がねらう先
犯罪手法が高度化すると共にそのターゲットも変化しており、対策がより脆弱なところに向かっているといえます。 アメリカのフィッシング詐欺被害ケースでは、クレジットカードよりもセキュリティ対策が弱いデビットカードとチェックカードを支払い手段としていることが多くなっています。
また、これまで代表的なターゲットであったネットバンキング以外のサイトが狙われるケースがでてきています。 ネットバンキングは、FFIECガイドラインによって認証強化を義務付けられた(2006年末までに多要素認証を導入)ことからセキュリティ強化が進みました。
2006年から2007年のオンライン不正が経験的観測で30~40%減少したということです。 銀行がオンラインセキュリティを強化するにつれ、犯罪者はより狙い易い証券会社・証券仲介会社・保険会社や金融機関以外へとターゲットを移動傾向にあるようです。
アメリカのIP Geolocation(ジオロケーション)プロバイダが2007年の11月に、証券と証券仲介会社50社を対象に実施した調査によれば、ほぼ1/3がオンライン不正や個人情報流出といった脅威への対策ソリューションを導入しておらず、対策を検討中であるか状況を静観しているということです。 回答企業の80%はこれまでオンラインサービスでオンライン犯罪の被害を受けたことはないとしながらも、一度犯罪が起きてしまえば、その影響が業界全体に波及することは認識していました。このため、ネット証券にも銀行業界でのFFIECガイドラインのような法的規制が証券取引委員会(SEC)から発行されるとの予想があり、ネット証券のセキュリティ強化が今後進みそうです。
ECサイトでもオンライン犯罪対策は大きな課題です。海外からの不正が増加しているeBayでは、最近PayPalユニットが不正防止ソリューション会社を買収して不正対策強化を図っています。 また、オンラインのギャンブルサイトは、口座情報を入手した後に不正引き出しやマネーロンダリングをし易いことが多く、フィッシング詐欺のターゲットになっています。
3.国内にも広がる被害
日本でもフィッシング詐欺は対岸の火事では済まされなくなっています。警察庁が2008年2月28日に明らかにしたところによると、2007年のオンライン犯罪の逮捕・書類送検(検挙)数は5,473件で、前年より1,048件増加しています。このうち不正アクセス事件の検挙件数は1442件で、中でもフィッシングの手口が前年比5.3倍の1157件と急増しました。
インターネットを介して発生するセキュリティ上の事象に関する支援を行っているJPCERT/CCは、1月下旬から国内の有名サイトに似せたフィッシングサイトが急増しているとして、2008年2月にインターネット利用者に注意を呼びかけました。 実際、2月25日にはフィッシング対策協議会が、イーバンク銀行の偽サイトが確認されたと発表しました。「イーバンク銀行へようこそ」というサイトで暗証番号などを盗み取る手法で、米国のレンタルサーバ上に設置されていたそうです。 ネットバンキングでの不正引き出しの被害が増加していることから、金融機関はネット取引での不正引き出しも被害補償をするという自主ルールを策定しました。 また、証券会社ではマネックス証券がオンラインのリスク診断サービスを採用するなど、国内での不正対策も、ようやく動き始める兆しを見せています。
4.セキュリティソリューションの条件
公衆無線LANの普及による外出先からの接続の増加も、多層認証などによるより強固なセキュリティソリューションの必要性に拍車を掛けています。
オンラインセキュリティ技術の『機能』として重要視されているの:
・カスタマーエクスペリエンスに影響しない、シームレスで透過的な機能性
・他の技術やプラットフォームと容易に統合できること
・アドミニストレータが管理し易く、使いやすいこと
IP Geolocation(ジオロケーション)は、これらの条件を満たす理想的なソリューションとして、海外のネットバンクやEC業者に広く導入されています。犯罪者はセキュリティの甘いところを目指してきます。セキュリティを強化し、犯罪を引き寄せないように対策をとることが大切です。

Page Top