法人の不正送金被害が急増、対策のポイントを警察庁担当者が呼びかけ

EnterpriseZine / 2014年8月4日 12時0分

日本の金融機関を狙うマルウェア

 シマンテックは7月31日、不正送金マルウェア被害の現状に関する記者説明会を開催。警察庁生活安全局情報技術犯罪対策課の小竹一則氏が、法人の不正送金が急増している現状や対策のポイントを解説した。

■地域の金融機関を利用する法人がターゲットに

 ネットバンキングによる不正送金の被害が急拡大している。被害額は今年5月9日までで約14億1700万円(873件)で、過去最多だった昨年の約14億600万円(1315件)を半年足らずで上回った。ターゲットにされた金融機関は16都道府県58金融機関で、昨年の32金融機関から大幅に増加。被害の対象は、都銀を中心とした個人から、地域の金融機関を利用する法人へと拡大した。

 小竹氏は「法人の被害が急増している。都銀は個人の被害が多いが、地銀、信金、信組では、被害のほとんどが法人という状況だ」と説明する。被害額を法人と個人の割合でみると、法人は昨年6.9%だったものが今年は33.9%にまで拡大した。また、金融機関別に見ると、地銀では89.1%が法人であり、信金・信組にいたっては99.8%が法人の被害だ。都銀の個人口座を狙うより、預金残高が多く、対策が行き届いていないと思われる地域銀行の法人口座を狙うほうが効率がよいとの判断があるようだ。

 個人口座と違って法人口座は、IDとパスワードだけではなく、電子証明書によるクライアント認証やワンタイムパスワードが必須とされている場合が多い。実際、都銀3行では電子証明書の利用が必須となっており、電子証明書をインストールしたPCでなければサイト自体にアクセスできない。電子証明書もエクスポートできない(バックアップのコピーを作成できない)ように設定したり、電子証明書にパスワードを設定したりして流出後の悪用を防ぐ仕組みがある。

 ただ、地域の銀行の場合は、IDやパスワード、乱数表だけでログインできるケースもまだある。その場合、フィッシングによるIDとパスワードの詐取といった個人を狙った攻撃の手法と同じ手法が通用してしまうことになる。また、最近では、法人口座の電子証明書を不正に取得する攻撃も発生している。取引用のPCを乗っ取ったり、エクスポートが有効になった電子証明書を他のPCにインストールしたりして、不正送金を行うというものだ。

 犯行グループについて、小竹氏は、5月9日時点で47事件74人を検挙したうち、41人(55.4%)が中国人だったとし「日本はインフラが整っている」と指摘した。インフラとは「中国人の出し子と中国人の口座ブローカーが次から次へと出てくる」(同氏)状況のこと。目に見える出し子とブローカーを検挙しているが、非常に厳しい状況にあるという。

この記事に関連するニュース

トピックスRSS

ランキング