行動パターンで攻撃を検知する技術

　リスクベース認証は、インターネットバンキングなどのオンライン取引で、アクセスパターンの違いから本人の通常の操作なのか、攻撃者による不正アクセスなのかを見極め、操作中に追加的な認証を行うという技術である。本人かそうでないかを見極めるポイントは、接続元のIPアドレス、位置情報、PC、ブラウザのバージョン、操作パターンなどであり、これらが通常と違うものだったり、異常なパターンを検出した場合に、攻撃の疑いありと判断する。

　検出には、各ユーザーの通常パターンの環境や操作などをログと比較するだけでなく、高度なプロファイングやノウハウが必要となる。先日行われた「ベリサインFDSセミナー2011 ～オンラインバンクで今年発生した金融犯罪の実情と対策～」において、講演を担当したシグマクシスのアソシエイトパートナー 笠松隆幸氏は、そのような分析の専門家であり、同社は行動分析や不正検知ソリューションのコンサルティングなどを手掛けている。

地方銀行で実際に起きた被害

　笠松氏はまず、地方銀行で起きた不正アクセスの事例を紹介。その手順は、まず攻撃者が標的に対して金融機関を装った偽造メールを送ることから始まる。メールに記されたリンク先は攻撃用の偽サイトであり、そこはIDやパスワードを入力させる画面が表示される。この時点で標的にされた被害者はスパイウェアに感染しており、入力されたアカウント情報（ID・パスワード）は攻撃者に知られてしまっている。続いて、その金融機関が利用している乱数表の画面が表示され、被害者のパターンを入力させる。これもスパイウェアによって攻撃者に送信される。

「ここまでは、フィッシング詐欺によくある手口といえますが、これまでのフィッシング詐欺と異なるのは、窃取した認証情報をもとに、攻撃者がなりすましで本物のサイトにログインし、不正に送金処理を行ったこと、さらにその現金を引き出すため『出し子』と呼ばれる人間が介在したことです」

　従来のフィッシングの場合、直接の攻撃者は盗んだIDやパスワード情報をそのまま利用するのではなく、第三者に転売したり、ボットなどのマルウエアを感染させるなどがほとんどで、この事例のように、なりすましと口座の直接の操作に密に結びついた攻撃はあまりなかった。また、出し子の存在など、オフラインで発生している「振り込め詐欺」のような手口と組み合わせている。