ネットバンキング不正送金の手口と中小企業がすぐできる対策


Pohoto by

悪質な不正送金による被害が後を絶たない。2014年の被害額はなんと29億円という大規模なもので、前年比で29倍と過去最悪とも言われている。世界全体から見ても実に80%以上の被害が日本で起きており、今の日本企業は企業規模を問わずして世界から狙われているのだ。

このような被害にあわないために手口と対策を詳細にお伝えしたいと思う。

1.不正送金の悪質な手口を一挙公開

では、具体的にどのような手口で不正送金を行っているのかをご紹介したい。現在確認されている不正送金に至るまでの手口は大きく分けて3パターンとなっており、年々手口が巧妙化している。下記にまとめたので、まずはご覧いただきたい。

1-1.フィッシング詐欺主な原因:標的型攻撃

フィッシングメールのURLをクリックすることで偽物のサイトへアクセスさせ、偽物の入力画面から情報を盗み取り不正送金を行うもの。被害の原因はウィルス感染によるものではなく、フィッシングメール内の偽URLへのアクセスが発端となる。

  1. 1.銀行名を語る偽サイトからフィッシングメールが届く。
  2. 2.偽サイトと気が付かずにURLをクリックしてしまい、ネットバンキングの情報を入力。
  3. 3.入力情報は偽サイトを通じて攻撃者へ筒抜けになってしまい、盗まれた情報を使われ不正送金が起きる。

図解:フィッシング詐欺による不正送金の流れ
図解:フィッシング詐欺による不正送金の流れ

図解:通常の送金の流れ
図解:通常の送金の流れ

1-2.なりすまし主な原因:ウィルス感染

ウィルスがパソコンに潜伏し送金画面になったら偽物の入力画面を表示させ暗証番号などの情報を盗む。マルウェアと呼ばれる不正プログラム(ウィルス)感染が原因で、それらのウィルスはあらゆる手段で感染ルートが発見されている。

  1. 1.ウィルスに感染した状態でネットバンキングの正規サイトへアクセス。
  2. 2.潜伏したウィルスが発動し、利用者のパソコン上で偽入力画面が表示される。
  3. 3.偽入力画面と気付かずに入力してしまい、偽サイトを通じて攻撃者へ情報が盗まれ不正送金が起きる。

図解:なりすましによる不正送金の流れ
図解:なりすましによる不正送金の流れ

図解:通常の送金の流れ
図解:通常の送金の流れ

1-3.MITB(マン・イン・ザ・ブラウザ)主な原因:ウィルス感染

ウィルスがパソコンに潜伏しておりネットバンキング送金の手続きが完了した後に、Webブラウザを乗っ取り送金先の情報を書き換える。MITBは非常に悪質とされており、送金完了画面も正規の画面となるため発覚に気づきにくい。2014年から発見され、海外を中心に世界規模で被害が急増している。マルウェアと呼ばれる不正プログラム(ウィルス)感染が原因で、それらのウィルスはあらゆる手段で感染ルートが発見されている。

  1. 1.ウィルスに感染した状態でネットバンキングの正規サイトへアクセス。
  2. 2.送金手続き完了後に、潜伏したウィルスが発動し、利用者のパソコン上で送金先が上書きされる。
  3. 3.上書きされた送金先へ不正送金され、完了画面は正規のものとなる。

図解:MITBによる不正送金の流れ
図解:MITBによる不正送金の流れ

図解:通常の送金の流れ
図解:通常の送金の流れ

いかがだろうか?このような手口により、不正送金による被害が爆発的に急増している。もちろん、これらは「発覚しているもの」なので、新しい不正送金の手口は今この瞬間も生まれているかもしれない。

次は、特に狙われがちな「セキュリティの甘い日本の中小企業」はどう対応していけばいいのか、ネットバンキング不正送金対策をご紹介しよう。

2.中小企業ができるネットバンキング不正送金対策

手口をご覧いただくと分かると思うが、すべて発端はパソコンに起因しているため、まずはパソコンを守ることから始めよう。

特にネットバンキングができるパソコンは当然だが、ウィルスは社内ネットワークを通じて文字通り「感染」するため、パソコンのセキュリティ対策と社内ネットワークのセキュリティ対策、この両面の対策が必要不可欠となる。

2-1.パソコンのセキュリティ対策

まずはパソコン本体のセキュリティ対策からご紹介していこう。『インターネットをあまりしないから』などの理由は全く関係なく、社内ネットワークに接続しているパソコンはすべてに対して実施しよう。

1.ウィルス対策ソフトの導入

パターンファイル+振る舞い検知の対策がついたものであれば、十分なコストパフォーマンスを発揮する上に、個別のパソコンを守る手段には無くてはならない存在なので必ず導入しよう。また、市販されている家庭用以外にも業務用としてライセンス販売しているものもある。5台以上のパソコンがある場合はライセンスで購入した方が管理しやすいだろう。

ウィルス対策ソフトの特徴

導入コストが安い

一台あたり数千円と導入コストはとても安く、年間利用できることも大きなアドバンテージといえる。

管理コストが高い

一台に対し都度、最新化を常に行わなければならず、複数台ある中小企業の場合は最新化の管理が意外と煩雑になる。ライセンス版ならば一括で更新ができるので中小企業には家庭用ではなくライセンス版がおすすめ。

費用対効果はとても高い

すぐに導入できるうえに、パフォーマンスはすこぶる高いので必ず導入しよう。

2.不正送金対策ツールの導入

先ほどご紹介した不正送金の手口がここまで解明されており、無料で導入できる不正送金対策ツールも登場し始めた。ネットバンキング用のパソコンにはこれらのツールを導入しておこう。各銀行も推奨しており、導入実績の多いソフトをご紹介する。

不正送金対策ツール

PhishWall(フィッシュウォール)

株式会社セキュアブレインによる無料の不正送金対策ソフトで各銀行からも推奨されている。公式サイトはこちら。

3.パソコンの最新化を保つ

パソコンに対するセキュリティ対策でもっとも重要な事は「常に最新の状態を保つこと」だ。自動更新機能を有効にし、常に最新の状態になるように設定をしておこう。ここでは他にも大衆的にインストールされている代表的なソフトをご紹介するが、基本的に脆弱性はあらゆるソフトで見つかる可能性がある。必ず自動更新設定は有効にしておこう。

最新化を保つべき代表的なソフト

ウィルス対策ソフトの最新化

毎日の自動スキャンや定期アップデートなど、ソフトにより様々な設定があるが、常に最新化されるように設定しておこう。

OSの最新化

WindowsUpdateは必ず自動更新されるようにしておこう。また、念のため現時点で最新化されているか調べておこう。
参考:『コンピューターが最新の状態かどうかを知る方法』

ブラウザの最新化

InternetExplorerは当然として、その他インストールしているブラウザもすべて対象だ。
参考:『Internet Explorer を更新する』

Adobeの最新化

AdobeReaderやFlashPlayerなどは過去にも脆弱性が見つかり大きなニュースとなった。必ず自動アップデード設定をしておこう。
参考:『自動アップデートの環境設定』『Flash Player 自動更新の設定』

Javaの最新化

Javaは自動最新化ではなく自分で最新化する必要がある。自動更新することもできるので詳しい手順は『Javaのヘルプページ』を参考にしよう。

2-2.ネットワークのセキュリティ対策

中小企業で見落とされがちなのが、この社内ネットワーク対策だ。パソコンの対策よりも一気に専門的になり、IT担当者がいないと「よく分からないため導入を先送り」という対応をしてしまいがちだ。しかし、パソコン単位での対策には限界があり、台数が増えると管理が倍増していき、最新化が漏れるという悪循環に陥る。そこを付け狙われてしまうケースが非常に多いため、しっかりと対策をしていただきたい。

1.ファイアウォールの導入

パソコンにもWindowsファイアウォールといった機能が標準搭載されているが、それはパソコン自体を守るものだ。ここでご紹介しているファイアウォールは、社内と社外のネットワークを分断させ、不正アクセスなどの攻撃を防ぐ「防火壁」の役割をするものだ。会社を守る最初の砦ともいえる。機器にはルーター機能を兼ね備えているものもあり、社内のルーターとして使うケースが多い。

ファイアウォールの特徴

機器の導入コストは5万~20万程度

業務用の機器にしては比較的導入コストを抑えられるが、実際には設定費用などが上乗せされる。

設定が難しい

IT担当者が不在の場合、まず自分で設定することは避け専門業者に委託することが望ましい。

2.IPS(不正侵入防御)とIDS(不正侵入検知)の導入

ファイアウォールでは防げない「怪しいデータ通信」を見つけたらその通信を遮断する(=IPS)もので、ネットワーク単位で「振る舞い検知」が働くもの(=IDS)。ファイアウォールが破られた時に本領発揮するものだが、導入コストが非常に高く中小企業ではあまり現実的なものではないが、ネットワークを守る手段としては欠かせない対策。

IPS/IDSの特徴

機器の導入コストは数百万~

業務用の機器にしては比較的導入コストを抑えられるが、実際には設定費用などが上乗せされる。

設定が難しい

IT担当者が不在の場合、まず自分で設定することは避け専門業者に委託することが望ましい。

3.拠点間VPNの導入

複数の拠点で情報共有する場合に必ずと言っていいほど導入されるVPN接続。低コストながら安全に自社の機密情報をやり取りするために必須ともいえる方法。

VPNの特徴

導入コストは月額数千円~

基本的に月額費用がかかるが、コストパフォーマンスは非常に高い。

IT担当者が必要

複数の拠点間を結ぶため、相応の構成図が必要になる。IT担当者が不在の場合は外注することをおすすめする。

いくつか対策をご紹介したが、今はこれらを網羅したUTMというアプライアンス機器一つで対策できるため、「最終的にはUTMがもっともコストパフォーマンスが高い」という結論になることが多い。

2-3.自己管理のセキュリティ対策

仕組みとして取り入れるべき対策をご紹介したが、最後は自己管理による対策もしっかりとしておこう。これは自分だけではなく会社に出入りしているすべての社員に教育として落としこんでおこう。

1.怪しいメールは開かない

英文や怪しい日本語のものは当然として、知らないアドレスからのメールには十分注意しよう。特にhtmlメールの場合、見ただけで感染することもある。

2.銀行ページをよく見る

ポップアップ画面が過剰に出ていたり、やいつもと違う情報を入力させようとしている素振りがあったら、すぐに銀行へ相談しよう。

3.ワンタイムトークンを利用する

一度しか使えないパスワードを発行するトークン端末をなるべく使おう。ウィルス感染しているパソコンでパスワードを生成しても筒抜けになってしまうため、パソコンとは別端末にすることがベターだ。

3.中小企業ができる不正送金対策まとめ

中小企業として「人」に依存する不正送金対策だけではなく「仕組み」を導入することで、万が一の保険をかけておくようにしておこう。

  1. パソコンのセキュリティ対策
  2. 1.ウィルス対策ソフトの導入
  3. 2.不正送金対策ツールの導入
  4. 3.パソコンを最新化を保つ
  1. ネットワークのセキュリティ対策
  2. 1.ファイアウォールの導入
  3. 2.IPS(不正侵入防御)とIDS(不正侵入検知)の導入
  4. 3.拠点間VPNの導入
  1. 自己管理のセキュリティ対策
  2. 1.怪しいメールは開かない
  3. 2.銀行ページをよく見る
  4. 3.ワンタイムトークンを利用する

不正送金を未然に防ぐためにいくつか対策をご紹介したが、ネットワーク対策についてはやはり中小企業では敷居が高いのが実情だ。

しかしそんな方におすすめしたいのが、先にも少し触れた「UTM(統合脅威管理)」と言われている機器だ。ネットワークに潜む脅威をオールインワンで対策できるため、個別対応よりも導入コストを大幅に抑えられ中小企業にとっても敷居が低いのが特徴だ。当社イチオシのUTMについてはマンガを使って説明しているので、ぜひご検討いただければ幸いだ。

不正送金の手口はわずか1年で劇的に進化しており被害も急増している。ネットバンキングを日常的に利用しているならば、今回ご紹介した手口や対策をもとに対策の見直しをはかっていただければ幸いだ。

中小企業のセキュリティ対策についてのご相談やお問い合わせ

OAランドグループではオフィス作りを中心に行う起業家支援企業です。近年、爆発的に増加しているセキュリティ事故を一件でも未然に防ぐため、セキュリティ対策に予算や時間をかけられない中小企業向けのセキュリティ対策のご提案をしています。ご相談やお問い合わせに費用はかかりません。

> ご相談・お問い合わせはこちらから

中小企業のセキュリティを守る「最強の1台」

関連記事

  • セキュリティ事故

    不正アクセスがもたらす企業リスクと対策
    >>続きを読む>>続きを読む

  • セキュリティ事故

    中小企業に必要な情報漏えい対策
    >>続きを読む>>続きを読む

  • セキュリティ対策

    中小企業に必要なマイナンバー対策
    >>続きを読む>>続きを読む

  • よくある勘違い

    市販のセキュリティソフトを使ってるから大丈夫でしょ?
    >>続きを読む>>続きを読む

このページの先頭へ