情報処理推進機構、法人を狙ったインターネットバンキングの手口と対策を紹介
情報処理推進機構は8月の呼びかけとして、今年から急増している法人インターネットバンキングにおける不正送金被害の増加に対し、不正送金の手口と対策を紹介している。同機構によると、今年に入り法人口座の不正送金被害額が激増している理由として、電子証明書を窃取するウィルスの出現が関係しているとしている。
通常、インターネットバンキングへのログイン認証の方法としてログインIDとパスワード、ブラウザやICカード等に格納された電子証明書とパスワード情報による認証があり、身分証明書のような役割をもつ電子証明書のない他の端末からの不正送金などは認証されないことから、ID・パスワードのみの認証よりも高いセキュリティレベルが確保されている。しかし、ウィルスに感染すると電子証明書が窃取され、正しい端末と認識されてしまう。ブラウザに格納する電子証明書の場合、インポート時の設定でエクスポートを「可」又は「不可」と設定でき、エクスポートが「可」の場合には複数の端末でインターネットバンキングを利用できるが、端末がウィルス感染していると気づかないうちにウィルスが電子証明書をエクスポートして攻撃者のサーバに送信している可能性がある。また「不可」の場合でも端末がウィルス感染していると、ウィルスが電子証明書を削除して無効にするため認証が行えなくなるため利用者が電子証明書の再発行手続きを行うと、その際発行された電子証明書をインポートする際にウィルスが電子証明書のコピーをサーバに送信する可能性がある。この場合の手口は不自然なタイミングで電子証明書が無効となるため、ウィルス感染を疑い対処した方がよい。
IPAは、万が一に備えた対策として、インターネットバンキング利用端末ではインターネットの利用をネットバンキングに限定し、セキュリティレベルの高い認証方法で認証を行い、銀行指定の正規手順で電子証明書を利用するよう推奨している。また、全国銀行協会でも、PCや無線LANのルータの未利用時の電源切断や申請者と承認者での異なるPC利用、振込・払戻し限度額範囲を低く設定、不正ログインや取引歴などの定期的な確認を行うよう推奨している。
