2018年12月15日(土)

サイバー攻撃、日本に3新種 スマホ乗っ取りなど

(1/2ページ)
2014/4/23 10:23
保存
共有
印刷
その他

日本企業を狙う3種類のサイバー攻撃が登場してきた。法人向けネットバンキングから不正に送金する攻撃、スマートフォン(スマホ)を外部から操る攻撃、パソコンの中身を暗号化して解除の身代金をゆする攻撃だ。世界のウェブサイトの3分の2以上に使われる通信暗号ソフトの脆弱性(安全上の欠陥)を狙った攻撃はスマホにも波及。企業の対応は後手に回りがちだ。

三菱東京UFJ銀行は法人向けネットバンキングの不正送金を警告している

三菱東京UFJ銀行は法人向けネットバンキングの不正送金を警告している

「黒字経営なのに不正送金で突然倒産」。そんなケースを情報セキュリティー会社のラックは想定している。

21日、多くの地方銀行が一斉に法人向けネットバンキングの利用規制を実施。横浜銀行や福岡銀行などは当日扱いの都度指定振り込み・振り替えを停止し、千葉銀行は同取引の限度額を9999万9000円から1000万円に引き下げた。

■電子証明書盗む

「詐欺サイトなどによる法人向け被害が増えてきたが、4月に入りウイルスに電子証明書を盗まれて悪用される事態までに悪化した」。全国地方銀行協会の担当者は背景をこう明かす。

昨年、14億円と個人向けの被害が急増したネットバンキングの不正送金。いよいよ標的が企業に向いてきた。「ゼウス」と呼ばれる悪質なウイルスがその主犯だ。法人のパソコンにとりついて遠隔操作するタイプもあるが、それより手口が巧妙になってきた。

法人向けのネットバンキングはIDやパスワードに加え、パソコンのなりすましを防ぐために、取引銀行から発行された電子証明書をパソコンに入れる。ゼウスは取引銀行にそっくり似せた偽画面でログイン情報を盗むだけでなく、その電子証明書も盗み出す。

ウイルスの不正送金の被害に遭っても個人であれば大きな瑕疵(かし)がなければ補償される。だが法人は預金者保護法の対象外のため、「補償は個別対応」(全国銀行協会)。

ゼウスはどんどん亜種が生まれ、常に流行のウイルスのトップランクに顔を出す。今のところ有効な対抗策がないことを、まさに地銀の対応が示している。「企業は自分の預金を守るためにも、セキュリティー対策を見直してほしい。取引銀行はいつでも相談に乗る」(地銀協の担当者)

「ゼウスは統率者がいなくなった」。ロシアのウイルス対策ソフト開発会社ドクターウェブ(モスクワ市)のボリス・シャロフ最高経営責任者(CEO)はこう明かす。従来、ゼウスは「C&Cサーバー」と呼ぶ司令塔が必要だった。だがウイルスに感染したコンピューターが互いにネットワーク(ボットネット)を作り、攻撃情報などを持ち合う形に進化したという。「日本の3万2千台のパソコンによるボットネットが確認されている」(シャロフCEO)

■出荷時から感染

恐ろしいのはこの先だ。「60万台のスマホのボットネットが日本を狙っている」。中国の安価なスマホには、工場出荷時からウイルスが仕込まれているという。「メーカーは絶対に明かせない」(同)というが、米グーグルの基本ソフト(OS)を搭載しており、日本での流通も考えられるという。ボットネットによりスマホが攻撃者に遠隔操作され、個人情報などが盗まれる可能性がある。スマホが乗っ取られているのだ。

パソコンそのものやデータをロックして身代金を要求する「ランサムウエア」も日本語版が上陸している。「法令違反のデータやソフトがあります」などと、当局のロゴなどを使い利用者の弱みにつけ込むタイプも登場した。最近はパソコンを暗号化して「解除したければ金を払え」という直接的なゆすりも発見されている。

企業の機密情報を盗み出す「標的型攻撃」と組み合わせて、企業のサーバーの機密情報を暗号化、金銭をゆする手法に高度化することも考えられる。攻撃者は追跡がしづらい仮想通貨を受け取りに使うほど周到だ。

  • 1
  • 2
  • 次へ
保存
共有
印刷
その他

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報