2015年2月24日火曜日

減少してきたインターネットバンキングの不正送金詐欺

データアナリティクス事業部で分析システムの設計を担当している新村です。




弊社のソリューションページでも紹介している通り、銀行向けの不正検知ソリューションを展開しています。
このため、業界動向を取りまとめているのですが、今回は、一昨年より世間を騒がしているインターネットバンキング(以下、インバン)の不正送金詐欺について、ブログで纏めてみました。

インバンの不正送金詐欺とは何か


フィッシングサイト(偽サイトと言ってもいいと思います)を使って、インバン利用者のログインIDやパスワードを収集し、その情報を使って不正ログインを行い送金を行うものです。
初期のころは、「パスワード変更のお願い」などの用件で偽サイトに誘導するメールを送り、メールに書いてあるサイトにアクセスしたユーザが入力した情報を収集していましたが、インバンにアクセスした際のキーボードの入力を盗み取るウィルスを使ったり、インバンアクセス時に偽サイトにリダイレクトさせたり、ここ2年で銀行側の対策に応じて、手口も高度なものに変化してきました。
最近では、ワンタイムパスワード・トークンや暗号表など、時間制約のあるパスワード(時間が経つと無効になる一時的なパスワード)が登場したことで、不正手口もリアルタイム性を持ったものになってきています。

インバンの不正送金詐欺の動向


2013年の中頃から新聞などでも取り上げており、私の把握している報道の中からタイトルを引用すると、日本経済新聞で、2014年12月27日に「ネットバンキング、不正送金の被害最悪に 14年1~11月18億円」、同新聞の2015年2月12日に「ネットバンキング被害29億円超に 14年、倍増で過去最悪」、同新聞の2015年2月17日に「世界100金融機関、サイバー攻撃被害10億ドルか 民間調べ」といった形で、非常に深刻な様が報道されています。

また、独立行政法人 情報処理推進機構(以下、IPA)が毎年発表している、『情報セキュリティ 10 大脅威 2015』でも、「オンラインバンキングやクレジットカード情報の不正利用」が、昨年の5位から1位にランクアップしました。


全国銀行協会がインバンの不正払い戻しの件数と金額に関する統計値を速報値として毎月発表しているので、2011年から2014年6月までの確定値と、2014年7月以降の速報値をグラフに表したものが上記のグラフです。

グラフを見ると、2013年からインターネットバンキングの不正払い戻しが増加し始め、2014年度上期をピークに減少に転じています。報道が示すように、年単位では、ここ2年連続で不正払戻し件数・金額の最悪を更新していますが、実のところ、2014年度の下期だけを考えると、かなりの減少率を記録しています。

何が起こったのでしょうか。

2014年5月30日より、米国連邦捜査局(FBI)および欧州刑事警察機構(ユーロポール)が中心となって、「国際的なボットネットのテイクダウン作戦」が開始されました。
(警察庁: http://www.npa.go.jp/cyber/goz/
この作戦は、インバン不正送金に使用されているとみられるウィルスの配信サーバーを押収し、サーバー管理者を起訴することで、ウィルスの発信元から根こそぎ封じ込めようとするものです。

不正送金ウィルスは、フィッシングサイトに誘導したり、インバンの画面を改ざんするためのJavascriptをサーバーからダウンロードするのですが、この作戦によって配信サーバーが停止されると、たとえインバンの利用者がウィルスに感染していようとも、不正を実施することができません。
この作戦における成果について、警視庁からは報告が出ていませんが、IPAの『コンピュータウイルス・不正アクセスの届出状況および相談状況[2014 年年間(1 月~12 月)]』では、同作戦によって、IPAへのインバンへの相談件数が減少していると報告していることから、この作戦によって、2014年下期のインバンの不正払い戻しの急減が発生したように推測されます。

同作戦が継続的なものなのか、一時的なものなのか、情報公開されていません。
このため今後のインバンの不正送金詐欺の動向については不明瞭なところがありますが、現時点は、昨年比では過去最悪を記録しているが、対策の進行によって、減少しつつあるといった状況にあります。

今後の不正送金対策について


ボットネットのテイクダウ作戦は、大きな成果を収めているように思えるので、法執行の側面から、政府には今後とも活動を続けていって欲しいと思います。

利用者保護の措置については、ソフトウェアキーボードや暗号表、二段階認証、ワンタイムパスワードと数々のアイディアが登場しては、数か月後には犯罪者に突破されている現状があるので、今後もいたちごっこが続くように思えます。

弊社ソリューションも含め、サーバーサイドで不正送金を検知する仕組みも登場しています。GoogleやFacebookといった世界的なウェブサービスを提供する企業の不正ログイン対策では、利用者に負担をかけるような対策よりも、サーバーサイドで不正ログインを判断する方向に発展しているので、今後の不正送金対策も、水際対策からサーバーサイド対策に発展していくことになるでしょう。




0 件のコメント:

コメントを投稿