セキュリティ事故が相次ぐ―警察庁などが警告

14 4/21号

 サイバーセキュリティの話題が、世間を賑わしている。多くのWebサーバーで使われているオープンソースの暗号通信ライブラリー「OpenSSL」に、セキュリティのぜい弱性があることが発覚し、世界中に衝撃を与えた。ネットにつながっていると、過去に遡って暗号通信内容をのぞかれ、攻撃されたログも残らないという。一方、国内ではインターネットバンキングを悪用した不正送金被害が増加していることを、警視庁やセキュリティベンダーが明らかにしている。警察庁によると、2013年のネットバンキングの不正送金は1325件で、前年の95件から激増しているという状況だ。
 ラックによると、国内における不正送金犯罪は2012年の11月くらいから目立つようになり、昨年6月から激増しているという。英国、米国を経て、現在は「日本が集中的に狙われている」(ラックセキュリティ事業本部の三宅康夫セキュリティコンサルタント)という状況で、同社が把握している限り国際的な犯罪者グループが少なくとも3つはあり、メガバンクから地銀までを標的としている。
 手口については、まずPCを「SpyEye」や「Zeus」といったトロイの木馬に感染させ、感染したPCでターゲットとなる金融機関のサイトにアクセスすると、改ざんされたWebページや、本物のサイトにおいてポップアップ表示で情報入力画面が表示される。さらに、金融機関が用意している偽の画面で情報の入力をしないように促すページを飛ばしてしまうというものもある。
 口座情報を窃取されると、遠隔操作で送金操作される。個人だけでなく法人も対象となっており、実際に企業の被害も出ている。法人の場合、犯罪額が大きく倒産に至る恐れもあるという。
対策としては、リスクを認識したうえで、情報の収集、利用履歴のこまめな確認、ワンタイムパスワードの利用、OSやアプリのアップデート、不正送金対策ソフトの利用、送金限度額の設定などを推奨している。
一方今月6日に、2年間にわたってOpenSSLにぜい弱性「ハートブリード」が存在していたことが発覚した。情報処理推進機構(IPA)によると、ぜい弱性は、OpenSSLの1・0・1から1・0・1fと、1・0・2―ベータから1・0・2―ベータ1までのバージョンに存在する。
 ネットエージェントによると、SSL通信している相手のメモリーを何度も繰り返し閲覧でき、暗号化に利用しているSSL証明書の秘密鍵が盗まれ、過去の暗号化通信も解読される可能性があるという。
 警察庁でも定点観測システムにおいて攻撃の増加を確認しており、対策と注意を促している。自社のWebサイトが影響を受けているかどうかは、ネットエージェントが無償で公開しているWebサイトで、自社のWebサイトのアドレスを入力して確認できる。

 対策としては、OpenSSLプロジェクトまたはOSベンダーから提供されているアップデートや修正プログラム、パッチを適用してぜい弱性を解消した後に、これまで利用していた証明書を失効させ、新しい秘密鍵を使って証明書を再取得・再設定する必要がある。

警察庁

情報処理推進機構 OpenSSLの脆弱性対策について

ラック/セキュアブレイン インターネットバンキングを悪用した不正送金への注意喚起

ネットエージェントHeartbleed検査サービス