連邦預金保険公社(FDIC)のスパイウェア対策ガイダンス

　Last Updated:April 30.2024

　米国連邦預金保険公社(FDIC)は2005年7月22日に次の金融機関向けにスパイウェアのリスク軽減対策のガイダンス(Spyware Guidance on Mitigating Risks From Spyware)を発した。わが国の金融庁等も同様の警告を発しているが、金融機関から見た場合、補足資料など具体性に差がある。

　このような専門知識を顧客にどのように説明しているのか、IT先進国の消費者のレベルは実際どのようなものなのか、また金融機関の顧客向け啓蒙活動の内容とは、FDICに直接確認してみたい。

Ⅰ.　FDICスパイウェアのリスク軽減対策のガイダンスの仮訳

緊急リリース
PR-68-2005(7-22-2005)
広報担当者
　　　　 　 　　デビッド・バー（David Barr）(202)896-6992

　連邦預金保険公社（Federal Deposit Insurance Corporation：FDIC）は、本日、スパイウェアすなわち個人情報または組織の機密情報をあらか,,じめの認識またはインフォームド・コンセントなしに収集または第三者に通知するソフトウェア被害が拡大する危機をいかに予防するかという点に関する金融機関向けガイダンスを公表した。FDICの監督・消費者保護部長であるミハエル・J・ザムロスキー(Michael　J.Zamorski）は、スパイウェアにより収集された情報は銀行のシステムそのものを危うくしたり「なりすまし（identity theft）犯罪」に使用されるものであり、銀行がこの悪意に満ちたソフトウェアに含まれる各種リスクを放置したままでいることは批判されねばならないし、また自らの顧客が被害に遭わないよう適切な行動をとらねばならないと述べている。

　本日出されたガイダンスは、金融機関にスパイウェアに関するリスクを通知するとともに金融機関が内部コンピュータや銀行のウェブサイトにつながる顧客のコンピュータにかかるリスクの軽減を行うための具体的な行動を勧告するものである。

　金融機関（商業銀行、貯蓄金融機関）向け通知文（FIL-66-2005）
「スパイウェアからのリスク軽減に関するガイダンス」

〔要旨〕FDICは金融機関向けに自行のリスク・プロファイルにもとづく効果的なスパイウェアの防止と検出に関する付属ガイダンスを公布している。本ガイダンスおよび別添情報資料では、銀行と消費者の双方にとってスパイウェアに関するリスクを論じ、これらのリスク軽減のための具体的軽減策を勧告している。

〔内容〕
１．はじめに
　「スパイウェア」の用語は、本人が知らない間にユーザーの情報を収集したり第三者に個人情報を提供することを意味する。ある種のスパイウェアは暗証番号、クレジットカード番号、その他機微性・機密性の高い組織や個人の情報を傍受するものである。金融機関はこれに対抗するため情報セキュリティプログラムと顧客の啓蒙用プログラムのアンチスパイウェア戦略を考慮しなければならない。

２．スパイウェアによる各種リスク
　スパイウェアは、次の点において金融機関のリスクを増加させる。
①顧客のID番号やパスワードといった機密情報の内容を盗み聞き、あるいは傍受することで取引の機密性を危うくする。
②金融機関の潜在的に顧客の口座に対する権限外のアクセスを可能とすることで金融機関の評判を害する。
③銀行の各種資源の悪用や銀行のシステムへの無権限アクセスを可能とする。
④フィッシングやファーミングといったインターネットを経由した他の攻撃のリスクを増加させる。

３．スパイウェアから生じるリスクを軽減するための勧められる具体的な行動
　以下の情報セキュリティプログラムを強化しなければならない。

①金融機関における「リスクアセスメント」の一環としてスパイウェアの脅威を考慮すること。
②スパイウェアと関連するリスクならびに顧客に対し許容しがたい範囲（ダウンロードの禁止や適切でないウェブサイトの閲覧など）を意図したセキュリティ対策とインターネットの安全な使用に関する方針を強化する。管理者はこれらの方針を従業員に徹底することならびに適切に従わない者に対し譴責（けんせき）処分を行うこと。
③顧客に対し、スパイウェアに関するリスクの教育と顧客自身が自らスパイウェアーの侵入の防御・検出を可能とする手立てについて奨励すること。さらに、ホテル、図書館、インターネットカフェーといった公共の場でのコンピュータの利用リスクを周知すること。
④多要素認証方式（multi-factor authentication methods：これは顧客の口座番号、パスワード、口座番号等が盗取されるリスクを減少させるものである）の調査研究を行うこと。

補足資料「スパイウェアの防止と検出に関する最善の実践手段」
１．スパイウェア感染
　通常、スパイウェアはユーザーの知識や許可なしにインストールされる。また、ある場合にはユーザーは自らの行為の結果についての悪影響を完全に理解せずに意識的にインストールすることもある。ユーザ－はしばしば情報の収集範囲や方法が不明確な「エンドユーザー使用許諾契約（EULA）」の受け入れを求められる。

　以下の方法はスパイウェアがインストールされる具体的な方法である。
①実際「一括販売（boundling）」といったすべての使用許諾契約がポップアップウィンドウに含まれていて、よほど注意して読まないと無意識に一括販売によりスパイウェアをインストールてしまう。
②技術面でメリットが得られると称してユーザーがダウンロードしてしまう場合である。いくつかのスパイウェアは生産性、ウイルススキャン能力、その他のメリットが得られると強調される。
③インターネットの閲覧技術を介したインストールの方法として「自動ダウンロード」がある。この技術はユーザーがウェブサイトを閲覧しただけでインストールされてしまう。
④ユーザーが迷惑メール（spam）を開いたり閲覧しただけで自動的にスパイウェアがダウンロードされる。

２．スパイウェアに関する対応の難しさ
　スパイウェアは検出や削除がむずかいしいが、その理由は次の点にある。

①常に在起動中のソフトでありながら、ウインドウズのタスクマネージャーに表示されない。
②「削除・追加ソフト」の中のオプションに含まれない。仮にオプションに含まれている場合でも、削除手続きがすべての要部品を完全に取り除くことにはならない、あるいは削除を完全なものとすると称してユーザーを再度インターネットサイトにつなげることもある。このことは時としてスパイウェアの削除により追加や新たな感染をもたらす。
③１つのスパイウェアーのインストールがユーザーのパソコンなどに他のスパイウェアのインストールを引き起こすことがある。

３．金融機関におけるスパイウェアによるリスクの増強
①セキュリティの脆弱性やセッティングを不当に利用したり、セキュリティレベルを緩和する目的からコンピュータの機器構成の変更、または金融機関のファイアーウォールを回避するための通信経路を作ることになる。その結果は、攻撃者はキーストローク、eメール、インターネットを介した情報伝達のモニタリングを通じて機密情報の盗み見や傍受が可能となる。
②攻撃者に金融機関のコンピュータにスパムメールや悪意あるソフト（malware）を送ったり、他の機関に対してドス（DoS）攻撃を行うため自行のコンピュータに対する制御能力を与える。
③違法なスパイウェアを取り外す結果、インターネット接続の中断により銀行業務の遂行を危うくする。
④企業のemailの口座にスパム事件を引き起こす。
⑤機密性を危うくする：ある種のスパイウェアは時としてユーザーは知らない間に自身のサーバーを介してインターネットコミュニケーションの通信を行う。このことはSSLやその他の暗号化技術が使用されているときでも第三者は機密情報を閲覧できる。その他の形式のスパイウェアでは、インターネットの通信内容のモニタリングと記録を行い、そのレポートをハッカーに送信する。このように、なりすまし詐欺者は集めたID番号やパスワードを使用して顧客になりすますのである。
⑥ある種のスパイウェアは、インターネットのページ要求を変更することができるのでフィッシングやファーミング攻撃といった脆弱性を増すことができる。
　

４．スパイウェアに関するリスク緩和のための勧められるべき行動
　金融機関は次の施策をとることによりリスクの評価を行うとともにリスクの軽減に取り組む必要がある。
①ユーザーによるソフトウェアのダウンロードを一定の範囲で制限するが、金融機関による事前承認制はとるべきでない。

②ウェブサイトが新たなソフトウェアを自動ダウンロードすることを避けため、ウウインドウズの設定において「active X control」を無効にする（訳者注：具体的な手順については最後に注記した九州大学の牧之内研究室を参照）。これは、通常のブラウジングにおいてスパイウェアがインストールされることを防ぐ。

③ユーザーが使用しているOSやアプリケーションソフトについて最新の修正パッチ（訳者注：セキュリティパッチとは、ソフトウェアに脆弱性（セキュリティホール）が発見されたときに穴をふさぐという意味。一般的にソフトウェアメーカーやベンダーのホームページから無料でダウンロードできる。Windows Update 等）で常にメンテナンスする。

④アンチウィルスやスパム、スパイウェア用ソフトの最新版をインストールする。

⑤金融機関内、対外接続のおける通信内容をモニタリングするためファイアーウォールを設定する。できれば、通常のビジネスに不要な送信内容（仕事に関係ない従業員のインスタントメッセージへのアクセスなど）は外部用ポート（訳者注：インターネットとコンピュータの間を行き来するデータは、そのコンピュータのシステムがインターネット通信のために用意する 「 ポート 」という出入口を必ず経由する。 ポートは、0～65535の番号で識別され、原則として通信する内容や用途に応じて使うものを自由に決められる。）でブロックする。

⑥ポップアップウィンドウズ（訳者注：ポップアップウィンドウとは、ユーザーがリンクをクリックした際に、そのリンク先が新しい（別の）ウィンドウによって開くことで、そのコンテンツは注意を促すような簡単な内容から、外部リンクまで、様々である。）を制限するかまたはそれを防止するためのツールを実装する。

⑦新たなスパイウェアの脅威と阻止手段が出現したとき、金融機関として適応するための日頃の問題認識を強化しておく。

⑧定期的に信頼されるルート認証機関による証明書のチェックを行う。ある種のスパイウェアは安全なインターネット通信を阻止し、悪質なコード（malicious code）を実行するため信頼されるルート認証証明書（trusted root certificates（注））を用いることがある。これらの証明書の正当性について研究した後に、金融機関はスパイウェアによってインストールされたものを排除することができる。

（注）「trusted root certificates」とはSSLというプロトコルを通じて、インターネット上で安全に個人情報を伝達するものである。この証明書は信頼できる機関により個人または組織を識別する電子的確認方法である。
⑨大量の顧客が同じインターネットのアドレスを使ってウェブサイトにアクセスしているか否かを判断するため、ファイアーウォール用ログの分析が必要である。このことにより、このようなアドレスを使ってインターネットバンキング・サイトへの遮断を意図するものかをチェックすることができる。

５．金融機関がスパイウェアの防止につき顧客に勧めるべき行動
　顧客は次の行動により、スパイウェアの防止と検出が可能となる。
①定期的にアンチスパイウェアをインストールし、ウィルス被害の防止とソフトウェアを更新する。

②ウェブサイトが自動的に新しいプログラムのインストールやActive X コントロールを行うことを防ぐようブラウザの設定を調整する。

③エンドユーザー用使用許諾契約書の内容を注意深く読むこと、内容が十分理解できない場合はインストールを避けること。

④OSとブラウザについて常にパッチ作業を行うなどメンテナンスすること。

スパイウェアのリスク・対策についてやさしく説明しているサイト例。
https://eset-info.canon-its.jp/malware_info/special/detail/220726.html
https://www.fielding.co.jp/service/security/measures/column/column-12/

また、以下が「Windows のセキュリティ設定」について詳細に解説している。筆者も安易に購入時のまま設定を放置している点を反省させられた。

https://jp.ext.hp.com/techdevice/windows10sc/15/

https://solution.fielding.co.jp/column/it/itcol04/201907_06/

６．スパイウェアに関するリスク緩和のための勧められるべき行動
　金融機関は次の施策をとることによりリスクの評価を行うとともにリスクの軽減に取り組む必要がある。
①ユーザーによるソフトウェアのダウンロードを一定の範囲で制限するが、金融機関による事前承認制はとるべきでない。

②ウェブサイトが新たなソフトウェアを自動ダウンロードすることを避けため、ウウインドウズの設定において「active X control」を無効にする（訳者注：具体的な手順については最後に注記した九州大学の牧之内研究室を参照）。これは、通常のブラウジングにおいてスパイウェアがインストールされることを防ぐ。

③ユーザーが使用しているOSやアプリケーションソフトについて最新の修正パッチ（訳者注：セキュリティパッチとは、ソフトウェアに脆弱性（セキュリティホール）が発見されたときに穴をふさぐという意味。一般的にソフトウェアメーカーやベンダーのホームページから無料でダウンロードできる。Windows Update 等）で常にメンテナンスする。

④アンチウィルスやスパム、スパイウェア用ソフトの最新版をインストールする。

⑤金融機関内、対外接続のおける通信内容をモニタリングするためファイアーウォールを設定する。できれば、通常のビジネスに不要な送信内容（仕事に関係ない従業員のインスタントメッセージへのアクセスなど）は外部用ポート（訳者注：インターネットとコンピュータの間を行き来するデータは、そのコンピュータのシステムがインターネット通信のために用意する 「 ポート 」という出入口を必ず経由する。 ポートは、0～65535の番号で識別され、原則として通信する内容や用途に応じて使うものを自由に決められる。）でブロックする。

⑥ポップアップウィンドウズ（訳者注：ポップアップウィンドウとは、ユーザーがリンクをクリックした際に、そのリンク先が新しい（別の）ウィンドウによって開くことで、そのコンテンツは注意を促すような簡単な内容から、外部リンクまで、様々である。）を制限するかまたはそれを防止するためのツールを実装する。

⑦新たなスパイウェアの脅威と阻止手段が出現したとき、金融機関として適応するための日頃の問題認識を強化しておく。

⑧定期的に信頼されるルート認証機関による証明書のチェックを行う。ある種のスパイウェアは安全なインターネット通信を阻止し、悪質なコード（malicious code）を実行するため信頼されるルート認証証明書（trusted root certificates（注））を用いることがある。これらの証明書の正当性について研究した後に、金融機関はスパイウェアによってインストールされたものを排除することができる。

（注）「trusted root certificates」とはSSLというプロトコルを通じて、インターネット上で安全に個人情報を伝達するものである。この証明書は信頼できる機関により個人または組織を識別する電子的確認方法である。
⑨大量の顧客が同じインターネットのアドレスを使ってウェブサイトにアクセスしているか否かを判断するため、ファイアーウォール用ログの分析が必要である。このことにより、このようなアドレスを使ってインターネットバンキング・サイトへの遮断を意図するものかをチェックすることができる。

7．金融機関がスパイウェアの防止につき顧客に勧めるべき行動
　顧客は次の行動により、スパイウェアの防止と検出が可能となる。
①定期的にアンチスパイウェアをインストールし、ウィルス被害の防止とソフトウェアを更新する。

②ウェブサイトが自動的に新しいプログラムのインストールやActive X コントロールを行うことを防ぐようブラウザの設定を調整する。

③エンドユーザー用使用許諾契約書の内容を注意深く読むこと、内容が十分理解できない場合はインストールを避けること。

④OSとブラウザについて常にパッチ作業を行うなどメンテナンスすること。

 また、ESETサイトが「Windows のセキュリティ設定」について詳細に解説している。筆者も安易に購入時のまま設定を放置している点を反省させられた。

****************************************************************

（今回のブログは2005年8月24日登録分の改訂版である)

**********************************************************************
　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010 星野英二．　All Rights Reserved．No reduction or republication without permission．