SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

法人の不正送金被害が急増、対策のポイントを警察庁担当者が呼びかけ


 シマンテックは7月31日、不正送金マルウェア被害の現状に関する記者説明会を開催。警察庁生活安全局情報技術犯罪対策課の小竹一則氏が、法人の不正送金が急増している現状や対策のポイントを解説した。

地域の金融機関を利用する法人がターゲットに

 警察庁生活安全局情報技術犯罪対策課の小竹一則氏
警察庁 生活安全局
情報技術犯罪対策課 小竹一則氏

 ネットバンキングによる不正送金の被害が急拡大している。被害額は今年5月9日までで約14億1700万円(873件)で、過去最多だった昨年の約14億600万円(1315件)を半年足らずで上回った。ターゲットにされた金融機関は16都道府県58金融機関で、昨年の32金融機関から大幅に増加。被害の対象は、都銀を中心とした個人から、地域の金融機関を利用する法人へと拡大した。

 小竹氏は「法人の被害が急増している。都銀は個人の被害が多いが、地銀、信金、信組では、被害のほとんどが法人という状況だ」と説明する。被害額を法人と個人の割合でみると、法人は昨年6.9%だったものが今年は33.9%にまで拡大した。また、金融機関別に見ると、地銀では89.1%が法人であり、信金・信組にいたっては99.8%が法人の被害だ。都銀の個人口座を狙うより、預金残高が多く、対策が行き届いていないと思われる地域銀行の法人口座を狙うほうが効率がよいとの判断があるようだ。

 個人口座と違って法人口座は、IDとパスワードだけではなく、電子証明書によるクライアント認証やワンタイムパスワードが必須とされている場合が多い。実際、都銀3行では電子証明書の利用が必須となっており、電子証明書をインストールしたPCでなければサイト自体にアクセスできない。電子証明書もエクスポートできない(バックアップのコピーを作成できない)ように設定したり、電子証明書にパスワードを設定したりして流出後の悪用を防ぐ仕組みがある。

 ただ、地域の銀行の場合は、IDやパスワード、乱数表だけでログインできるケースもまだある。その場合、フィッシングによるIDとパスワードの詐取といった個人を狙った攻撃の手法と同じ手法が通用してしまうことになる。また、最近では、法人口座の電子証明書を不正に取得する攻撃も発生している。取引用のPCを乗っ取ったり、エクスポートが有効になった電子証明書を他のPCにインストールしたりして、不正送金を行うというものだ。

 犯行グループについて、小竹氏は、5月9日時点で47事件74人を検挙したうち、41人(55.4%)が中国人だったとし「日本はインフラが整っている」と指摘した。インフラとは「中国人の出し子と中国人の口座ブローカーが次から次へと出てくる」(同氏)状況のこと。目に見える出し子とブローカーを検挙しているが、非常に厳しい状況にあるという。

 出し子とは、特定の口座に送金した後、ATMから現金を引き出す者のことだ。不正送金を分類すると、この出し子による現金出金が71.3%と最も多くなっている。以前は、マネーミュールと呼ばれる資金移動業者などによる国外送金が2割ほどあったが、海外送金の規制により減り(現在は約6.0%)、「減った分がまた出し子に戻った」(同氏)という状況だ。

 小竹氏は、法人口座での電子証明書の取り扱いについて、「エクスポート機能ONはダメ!」と注意を発するとともに、取引申請者と承認者との間で異なる端末を利用すること、送金限度額を必要な範囲内で引き下げること、不審なログイン履歴がないかの確認を行うことなどを呼びかけた。実施が可能な場合、事前登録送金先以外への受付日当日送金を制限することも有効だとした。

次のページ
日本の金融機関に狙って攻撃する

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

齋藤公二(サイトウコウジ)

インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6061 2015/04/27 11:27

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング