詐欺検知は有効なスパイウェア対策となるか

　先日、「ベリサインFDSセミナー2011 ～オンラインバンクで今年発生した金融犯罪の実情と対策～」において、野村総合研究所 石井晋也氏による新しいユーザー認証に関する講演が行われた。この講演は、フィッシング詐欺や標的型攻撃が増える中、「詐欺検知」という考え方の有効性を説くものだった。

　詐欺検知とは、振る舞い認証やリスクベース認証などと呼ばれる技術だが、その説明に入る前に、石井氏は不正アクセスの現状について、オンラインバンキングで問題となっている脅威の現状について分析。地方銀行で発生した、1回の被害で2700万円が他人の口座に移されたという新聞報道を例に、

「この事例で漏えいしたパスワードは、スパイウェアに感染したPCから抜き取られています。同様の被害が、7～8月に地方銀行で発生しており、IPAによれば、盗まれたパスワードは『SpyEye』というスパイウェアによるものではないかと推測されています」

　と指摘した。スパイウェアは、PCなどに潜んで、ユーザーのパスワード入力をモニタするなどして情報を盗む。パスワードデータベース保護を強化しても漏えいを防ぐことができないため、深刻な問題だと石井氏はいう。

　スパイウェアに感染したPCは、アカウント情報の窃取以外にも、画面キャプチャ、クッキー詐称、データ改ざん、中間者攻撃とあらゆる攻撃を許してしまう。その対策は、エンドユーザーのウイルス対策ソフトやセキュリティアップデートに依存するほかない。そのような中でも、金融機関に対しては、スパイウェアやフィッシング詐欺の問題が深刻になると、「パスワードで守っています、暗号化しています」だけでは十分な対策をとっているとみなされなくなる世論があるとして、石井氏は個人向けおよび法人向けのインターネットバンキングに警鐘を鳴らす。