法人向けインターネットバンキングの不正送金被害に注意、IPAが呼び掛け

　独立行政法人情報処理推進機構（IPA）は1日、法人向けインターネットバンキングの不正送金被害が急増しているとして、注意を呼び掛けた。

　全国銀行協会が発表した法人口座の不正送金被害の推移によると、2014年から被害が急増している。被害額急増の理由の1つには、電子証明書を窃取するウイルスによる新しい手口の出現があるという。

法人口座の不正送金被害の推移（過去2年間）

　現在、銀行が法人向けに提供しているインターネットバンキングへのログイン時の認証方法としては、ログインIDとパスワード情報のみに基づく認証、ブラウザーに格納された電子証明書とパスワード情報に基づく認証、ICカード等に格納された電子証明書とパスワード情報に基づく認証の、主に3種類の方法がある。

　電子証明書は、インターネットバンキングを利用する端末として正当であることを証明する“身分証明書”のような役割を担っており、電子証明書のない他の端末から不正送金などを試みようとしても認証されず、送金ができない。このことから、IDとパスワードのみの認証よりも、電子証明書を必要とする認証のほうが高いセキュリティレベルが確保されていると言えるが、利用端末がウイルスに感染することで、電子証明書が窃取されてしまう新しい手口が出現している。

　手口としては、エクスポート設定が「可」となっている電子証明書を攻撃者のサーバーに送信するウイルスや、電子証明書を削除して無効にしてしまい、再発行された電子証明書を利用者がインポートする際に電子証明書をコピーし、攻撃者のサーバーに送信するといったウイルスが確認されている。

電子証明書窃取の手口

　IPAでは推奨する対策として、インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定することや、銀行が提供する中でセキュリティレベルの高い認証方法を採用すること、銀行が指定した正規の手順で電子証明書を利用することを挙げている。

　また、前述の電子証明書を窃取する手口は、PCがウイルスに感染していることが前提のため、PCをウイルスに感染させないための基本的な対策が最も重要だとしている。

　全国銀行協会でも7月17日に、インターネットバンキングの利用者に対してセキュリティ対策を発表している。対策としては、インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定すること、パソコンや無線LANのルーターなどについて、未利用時は可能な限り電源を切断すること、取引の申請者と承認者とで異なるPCを利用すること、振込や払戻しなどの限度額を必要な範囲内でできるだけ低く設定すること、不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認することが挙げられている。

　IPAでは、法人口座は個人口座より送金限度額が大きいため、1度の不正送金が事業存続に致命的なダメージを与える可能性があると指摘。銀行が導入しているセキュリティ対策をよく確認し、ウイルスに感染しないための基本的な対策を行ったうえで、全国銀行協会が提示する対策も確実に実施することが望ましいとしている。