2015年12月07日

■■【一口情報】 法人向けインターネットバンキングの不正送金対策

■■【一口情報】 法人向けインターネットバンキングの不正送金対策
 
 経営コンサルタントを40年もやっていますと、若かりし頃、話し下手であった自分が信じられないほど、人前でもしゃべれる様になりました。雑学をかじっていると、人が関心を持ってくれます。
 
■ 法人向けインターネットバンキングの不正送金対策

 全国銀行協会が発表したアンケート結果に基づく過去2年間の法人口座の不正送金被害の推移を見ますと、平成26年に急増していることがわかります。警察庁によれば2014年の国内における被害額は、5月9日の時点で14億円を超え、既に昨年の被害総額を超えたとあります。

 被害額急増の理由の1つに電子証明書を窃取するウイルスによる新しい手口の出現があります。独立行政法人情報処理推進機構(IPA)のWebサイトでは、法人口座を狙う不正送金の新しい手口と、その対策方法について解説しています。

1 不正送金の手口

 金銭被害を食い止めるには、騙されないための注意深さと知識が必要で、利用者自身で何が正しいのかを「知る」ことが必要です。IPAでは、オンラインバンキングの「正しい画面」を知ることの大切さを強調しています。これを知っていれば、パソコンが万が一ウイルスに感染しても、異常に気付くことができます。

オンラインバンキングにおける不正送金の代表的な従来の手口は、次の通りです。

1.利用者のパソコンにウイルスを感染させることで、不正なポップアップ画面を表示させる。

2.その画面に、送金に必要な情報(ID、パスワード、乱数表の数字など)を利用者に入力させる。

3.その結果、送金に必要な情報が第三者に渡ってしまう。

4.第三者は、窃取した情報を悪用して手動で不正送金を行う。

 しかし2014年3月に、窃取した情報を悪用して、その場でリアルタイムに送金処理を行う新たなウイルスが確認されました。

1.利用者のパソコンにウイルスを感染させることで、不正なポップアップ画面を表示させる。

2.その画面に、送金に必要な情報(ID、パスワード、乱数表の数字など)を利用者に入力させる。

3.入力させた情報が即座に悪用され、第三者の口座への不正送金がリアルタイムに行われてしまう。

詳しくは、以下の独立行政法人情報処理推進機構のサイトをご覧ください。
http://www.ipa.go.jp/security/txt/2014/08outline.html


2 オンラインバンキングの正しい画面

 IPAでは、オンラインバンキングの「正しい画面」を知ることの大切さを強調しています。これを知っていれば、パソコンが万が一ウイルスに感染しても、異常に気付くことができます。

 「不正な画面」は既知のウイルスによって表示されるもので、ウイルスや手口が異なれば、出現する「不正な画面」も多種多様になると考えられます。そのため「正しい画面」を知っていることは、それと異なる画面が現れた際に異変に気付くことができ、金銭被害から身を守ることができます。

 オンラインバンキングのサイトによっては、実際の「正しい」取引を体験できるデモページを用意している金融機関もあります。

 ⇒不正な画面(みずほ銀行ウェブサイト)
  http://www.mizuhobank.co.jp/direct/images/start_img_01.gif

 オンラインバンキングでは、このように利用者に「正しい画面」を提示している場合がありますので、利用中のオンラインバンキングのサイトで「正しい画面」が掲載されているかを確認してください。掲載されていた場合は、画面のスクリーンショットをパソコンに保存しておくかプリントアウトしておき、オンラインバンキング利用時には常に正しい画面と画面遷移に照らし合わせながら利用してください。

 もしオンラインバンキング利用時に「正しい画面」と異なる画面が現れた場合、ウイルス感染が原因の場合以外にも、オンラインバンキング側のシステム変更の可能性があるため、以下の対応を取ってください。

1. 金融機関本体のサイトを確認し、オンラインバンキングの画面の変更の有無を確認する。もしくは問い合わせ窓口に確認する。

2.もしシステム変更によるものではない場合、ウイルス感染が疑われますのですぐにオンラインバンキングの利用を停止し、セキュリティソフトによる駆除や後述する感染を防ぐための対策を行ってください。


 詳しくは、以下の独立行政法人情報処理推進機構のサイトをご覧ください。
 http://www.ipa.go.jp/security/txt/2014/08outline.html

 独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
 Tel: 03-5978-7591 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7591

不正な画面
3 電子証明書添付も安心するな

 全国銀行協会が発表したアンケート結果に基づく過去2年間の法人口座の不正送金被害の推移を見ますと、平成26年に急増していることがわかります。警察庁によれば2014年の国内における被害額は、5月9日の時点で14億円を超え、既に昨年の被害総額を超えたとあります。

 被害額急増の理由の1つに電子証明書を窃取するウイルスによる新しい手口の出現があります。独立行政法人情報処理推進機構(IPA)のWebサイトでは、法人口座を狙う不正送金の新しい手口と、その対策方法について解説しています。

 その中の一つに「電子証明書を窃取する手口」が紹介されています。

 組織内の複数端末でインターネットバンキングを利用したい場合、それぞれの端末に電子証明書が格納されている必要があります。ブラウザに格納する電子証明書の場合、インポート時の設定で、エクスポートを「可」とすることで、現在利用している端末以外の端末に電子証明書を格納することが可能となります。

 利用端末が複数あることは業務効率が高く、便利な一方で、不正送金に悪用されるリスクが高まるため、利便とリスクのトレードオフを見極める必要があります。 そのため、電子証明書のエクスポート設定を原則「不可」としている銀行もあります。

 最近では次のような電子証明書を窃取する新しい手口が確認されており、特にエクスポート設定が「可」となっている場合は、気付かないうちに電子証明書を窃取されてしまう危険性があります。

【1】エクスポート設定を「可」としてインポートした電子証明書を窃取する手口

【2】エクスポート設定を「不可」としてインポートした電子証明書を窃取する手口

 電子証明書がついているからと言って、安心できませんね。

 詳しくは、以下の独立行政法人情報処理推進機構のサイトをご覧ください。
 http://www.ipa.go.jp/security/txt/2014/08outline.html

4 不正対策法

 全国銀行協会が発表したアンケート結果に基づく過去2年間の法人口座の不正送金被害の推移を見ますと、平成26年に急増していることがわかります。警察庁によれば2014年の国内における被害額は、5月9日の時点で14億円を超え、既に昨年の被害総額を超えたとあります。

 被害額急増の理由の1つに電子証明書を窃取するウイルスによる新しい手口の出現があります。独立行政法人情報処理推進機構(IPA)のWebサイトでは、法人口座を狙う不正送金の新しい手口と、その対策方法について解説しています。

 IPAでは、次の対策法を紹介しています。

1.インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定する

2.銀行が提供する中でセキュリティレベルの高い認証方法を採用する

3.銀行が指定した正規の手順で電子証明書を利用する

 ただし、パソコンがウイルス感染していると、これだけでは不充分です。平素からパソコンをウイルスに感染させないための基本的な対策を常に実施することが重要です。

 全国銀行協会でもインターネットバンキングの利用者に対して情報セキュリティ対策を紹介しています。

1.インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定する

2.パソコンや無線 LAN のルータ等について、未利用時は可能な限り電源を切断する

3.取引の申請者と承認者とで異なるパソコンを利用する

4.振込や払戻し等の限度額を必要な範囲内でできるだけ低く設定する

5.不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認する


 法人口座は個人口座より送金限度額が大きいため、1度の不正送金が事業存続に致命的なダメージを与える可能性があります。各種のセキュリティ対策とともに、ウイルス対策という基本的なことを忘れてはならないと考えます。

 詳しくは、以下の独立行政法人情報処理推進機構のサイトをご覧ください。
 http://www.ipa.go.jp/security/txt/2014/08outline.html





同じカテゴリー(トップ+コンサルタント情報)の記事

上の画像に書かれている文字を入力して下さい
 
<ご注意>
書き込まれた内容は公開され、ブログの持ち主だけが削除できます。