独立行政法人情報処理推進機構(IPA)は1日、2014年8月の呼びかけ「法人向けインターネットバンキングの不正送金対策、しっかりできていますか?」を公開した。
全国銀行協会が発表したアンケート結果に基づく過去2年間の法人口座の不正送金被害の推移を見ると、2014年に被害が急増しているという。これは、電子証明書を窃取するウイルスの登場が原因だ。今月の呼びかけでは、その新しい手口と対策方法について解説している。
電子証明書が窃取されてしまうと、犯罪者が所有する端末であってもインターネットバンキングが利用可能な“正当な端末”として認識されてしまう。組織内の複数端末でインターネットバンキングを利用したい場合、それぞれの端末に電子証明書が格納されている必要があるが、端末がウイルスに感染していると、ウイルスが電子証明書をエクスポートして攻撃者のサーバに送信する。
ブラウザに格納する電子証明書では、エクスポート設定が「可」となっている場合は、気付かないうちに電子証明書を窃取されてしまう危険が高い。さらにエクスポート設定が「不可」となっていても、ウイルスが電子証明書を削除して無効にすることで、再発行された電子証明書をインポートする際に、ウイルスが電子証明書をコピーし攻撃者のサーバに送信する。不自然なタイミングで電子証明書が無効となるため、この時点でウイルス感染を疑い、電子証明書の再発行手続きの前にパソコンの初期化などでウイルスを駆除する必要があるという。
IPAでは、「インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定する」「銀行が提供するなかでセキュリティレベルの高い認証方法を採用する」「銀行が指定した正規の手順で電子証明書を利用する」といった基本的な対策を呼びかけている。この他、全国銀行協会でも7月17日に、インターネットバンキングの利用者に対して、「パソコンや無線LANのルータ等について、未利用時は可能な限り電源を切断する」「取引の申請者と承認者とで異なるパソコンを利用する」「振込や払戻し等の限度額を必要な範囲内でできるだけ低く設定する」などの対策を発表している。
