日本企業を狙う3種類のサイバー攻撃が登場してきた。法人向けネットバンキングから不正に送金する攻撃、スマートフォン(スマホ)を外部から操る攻撃、パソコンの中身を暗号化して解除の身代金をゆする攻撃だ。世界のウェブサイトの3分の2以上に使われる通信暗号ソフトの脆弱性(安全上の欠陥)を狙った攻撃はスマホにも波及。企業の対応は後手に回りがちだ。
三菱東京UFJ銀行は法人向けネットバンキングの不正送金を警告している
「黒字経営なのに不正送金で突然倒産」。そんなケースを情報セキュリティー会社のラックは想定している。
21日、多くの地方銀行が一斉に法人向けネットバンキングの利用規制を実施。横浜銀行や福岡銀行などは当日扱いの都度指定振り込み・振り替えを停止し、千葉銀行は同取引の限度額を9999万9000円から1000万円に引き下げた。
■電子証明書盗む
「詐欺サイトなどによる法人向け被害が増えてきたが、4月に入りウイルスに電子証明書を盗まれて悪用される事態までに悪化した」。全国地方銀行協会の担当者は背景をこう明かす。
昨年、14億円と個人向けの被害が急増したネットバンキングの不正送金。いよいよ標的が企業に向いてきた。「ゼウス」と呼ばれる悪質なウイルスがその主犯だ。法人のパソコンにとりついて遠隔操作するタイプもあるが、それより手口が巧妙になってきた。
法人向けのネットバンキングはIDやパスワードに加え、パソコンのなりすましを防ぐために、取引銀行から発行された電子証明書をパソコンに入れる。ゼウスは取引銀行にそっくり似せた偽画面でログイン情報を盗むだけでなく、その電子証明書も盗み出す。
ウイルスの不正送金の被害に遭っても個人であれば大きな瑕疵(かし)がなければ補償される。だが法人は預金者保護法の対象外のため、「補償は個別対応」(全国銀行協会)。
ゼウスはどんどん亜種が生まれ、常に流行のウイルスのトップランクに顔を出す。今のところ有効な対抗策がないことを、まさに地銀の対応が示している。「企業は自分の預金を守るためにも、セキュリティー対策を見直してほしい。取引銀行はいつでも相談に乗る」(地銀協の担当者)
「ゼウスは統率者がいなくなった」。ロシアのウイルス対策ソフト開発会社ドクターウェブ(モスクワ市)のボリス・シャロフ最高経営責任者(CEO)はこう明かす。従来、ゼウスは「C&Cサーバー」と呼ぶ司令塔が必要だった。だがウイルスに感染したコンピューターが互いにネットワーク(ボットネット)を作り、攻撃情報などを持ち合う形に進化したという。「日本の3万2千台のパソコンによるボットネットが確認されている」(シャロフCEO)
■出荷時から感染
恐ろしいのはこの先だ。「60万台のスマホのボットネットが日本を狙っている」。中国の安価なスマホには、工場出荷時からウイルスが仕込まれているという。「メーカーは絶対に明かせない」(同)というが、米グーグルの基本ソフト(OS)を搭載しており、日本での流通も考えられるという。ボットネットによりスマホが攻撃者に遠隔操作され、個人情報などが盗まれる可能性がある。スマホが乗っ取られているのだ。
パソコンそのものやデータをロックして身代金を要求する「ランサムウエア」も日本語版が上陸している。「法令違反のデータやソフトがあります」などと、当局のロゴなどを使い利用者の弱みにつけ込むタイプも登場した。最近はパソコンを暗号化して「解除したければ金を払え」という直接的なゆすりも発見されている。
企業の機密情報を盗み出す「標的型攻撃」と組み合わせて、企業のサーバーの機密情報を暗号化、金銭をゆする手法に高度化することも考えられる。攻撃者は追跡がしづらい仮想通貨を受け取りに使うほど周到だ。
足元では通信暗号ソフト「オープンSSL」の重大な脆弱性(セキュリティー上の欠陥)の問題がまだくすぶっている。18日に三菱UFJニコスが同脆弱性を狙った攻撃に遭ったことを明らかにした。894人の顧客のカード番号や氏名、生年月日、住所、電話番号、メールアドレス、支払口座情報、勤務先情報などが不正に閲覧されたことがわかった。
この脆弱性は「ハートブリード(心臓出血)」と呼ばれている。オープンSSLはコンピューターの間の通信を暗号化するソフト。通信を途切れさせない「ハートビート(心臓鼓動)」と呼ぶオプションの設定を使えるが、ここに欠陥が存在した。
ハートビートは、通信相手となるコンピューターにある大きさのデータを送信すると、送信された側が返信する仕組みだ。この時、相手側がメモリーの先頭から64キロバイト分までのデータを無条件で返信してしまうというバグがあった。
64キロバイトは日本語にして約3万2千文字分。メモリーにはその時々のコンピューターの処理に応じて様々なデータが格納されている。タイミングによっては攻撃者は個人情報やクレジットカードの情報、通信の暗号化に使う秘密鍵など悪用されれば致命的なデータをもぎ取ることができる。
さらに悪いことにハートビートはコンピューターに痕跡が残らず、2年前からこの脆弱性が存在していた。従前からハートブリードに気がついていた人もいたという。
現状ではハートブリードへの対応は大手サイトではほとんど終了している。だがまだ火種は手元のスマホにくすぶっている。トレンドマイクロの調べでは、ハートブリードの脆弱性を抱えるウェブサイトに接続するスマホアプリが6千種あるという。
姿なきサイバー攻撃者への抗戦は長期にわたり瞬発力も求められる。経営リスクとして取り組むことが欠かせない。
(井上英明)
三菱東京UFJ銀行は法人向けネットバンキングの不正送金を警告している
「黒字経営なのに不正送金で突然倒産」。そんなケースを情報セキュリティー会社のラックは想定している。
21日、多くの地方銀行が一斉に法人向けネットバンキングの利用規制を実施。横浜銀行や福岡銀行などは当日扱いの都度指定振り込み・振り替えを停止し、千葉銀行は同取引の限度額を9999万9000円から1000万円に引き下げた。
■電子証明書盗む
「詐欺サイトなどによる法人向け被害が増えてきたが、4月に入りウイルスに電子証明書を盗まれて悪用される事態までに悪化した」。全国地方銀行協会の担当者は背景をこう明かす。
昨年、14億円と個人向けの被害が急増したネットバンキングの不正送金。いよいよ標的が企業に向いてきた。「ゼウス」と呼ばれる悪質なウイルスがその主犯だ。法人のパソコンにとりついて遠隔操作するタイプもあるが、それより手口が巧妙になってきた。
法人向けのネットバンキングはIDやパスワードに加え、パソコンのなりすましを防ぐために、取引銀行から発行された電子証明書をパソコンに入れる。ゼウスは取引銀行にそっくり似せた偽画面でログイン情報を盗むだけでなく、その電子証明書も盗み出す。
ウイルスの不正送金の被害に遭っても個人であれば大きな瑕疵(かし)がなければ補償される。だが法人は預金者保護法の対象外のため、「補償は個別対応」(全国銀行協会)。
ゼウスはどんどん亜種が生まれ、常に流行のウイルスのトップランクに顔を出す。今のところ有効な対抗策がないことを、まさに地銀の対応が示している。「企業は自分の預金を守るためにも、セキュリティー対策を見直してほしい。取引銀行はいつでも相談に乗る」(地銀協の担当者)
「ゼウスは統率者がいなくなった」。ロシアのウイルス対策ソフト開発会社ドクターウェブ(モスクワ市)のボリス・シャロフ最高経営責任者(CEO)はこう明かす。従来、ゼウスは「C&Cサーバー」と呼ぶ司令塔が必要だった。だがウイルスに感染したコンピューターが互いにネットワーク(ボットネット)を作り、攻撃情報などを持ち合う形に進化したという。「日本の3万2千台のパソコンによるボットネットが確認されている」(シャロフCEO)
■出荷時から感染
恐ろしいのはこの先だ。「60万台のスマホのボットネットが日本を狙っている」。中国の安価なスマホには、工場出荷時からウイルスが仕込まれているという。「メーカーは絶対に明かせない」(同)というが、米グーグルの基本ソフト(OS)を搭載しており、日本での流通も考えられるという。ボットネットによりスマホが攻撃者に遠隔操作され、個人情報などが盗まれる可能性がある。スマホが乗っ取られているのだ。
パソコンそのものやデータをロックして身代金を要求する「ランサムウエア」も日本語版が上陸している。「法令違反のデータやソフトがあります」などと、当局のロゴなどを使い利用者の弱みにつけ込むタイプも登場した。最近はパソコンを暗号化して「解除したければ金を払え」という直接的なゆすりも発見されている。
企業の機密情報を盗み出す「標的型攻撃」と組み合わせて、企業のサーバーの機密情報を暗号化、金銭をゆする手法に高度化することも考えられる。攻撃者は追跡がしづらい仮想通貨を受け取りに使うほど周到だ。
足元では通信暗号ソフト「オープンSSL」の重大な脆弱性(セキュリティー上の欠陥)の問題がまだくすぶっている。18日に三菱UFJニコスが同脆弱性を狙った攻撃に遭ったことを明らかにした。894人の顧客のカード番号や氏名、生年月日、住所、電話番号、メールアドレス、支払口座情報、勤務先情報などが不正に閲覧されたことがわかった。
この脆弱性は「ハートブリード(心臓出血)」と呼ばれている。オープンSSLはコンピューターの間の通信を暗号化するソフト。通信を途切れさせない「ハートビート(心臓鼓動)」と呼ぶオプションの設定を使えるが、ここに欠陥が存在した。
ハートビートは、通信相手となるコンピューターにある大きさのデータを送信すると、送信された側が返信する仕組みだ。この時、相手側がメモリーの先頭から64キロバイト分までのデータを無条件で返信してしまうというバグがあった。
64キロバイトは日本語にして約3万2千文字分。メモリーにはその時々のコンピューターの処理に応じて様々なデータが格納されている。タイミングによっては攻撃者は個人情報やクレジットカードの情報、通信の暗号化に使う秘密鍵など悪用されれば致命的なデータをもぎ取ることができる。
さらに悪いことにハートビートはコンピューターに痕跡が残らず、2年前からこの脆弱性が存在していた。従前からハートブリードに気がついていた人もいたという。
現状ではハートブリードへの対応は大手サイトではほとんど終了している。だがまだ火種は手元のスマホにくすぶっている。トレンドマイクロの調べでは、ハートブリードの脆弱性を抱えるウェブサイトに接続するスマホアプリが6千種あるという。
姿なきサイバー攻撃者への抗戦は長期にわたり瞬発力も求められる。経営リスクとして取り組むことが欠かせない。
(井上英明)