海外における個人情報流出事件とその対応第205回サイバー犯罪のターゲットになる中小企業 (2)防御のためにすべきこと

●セキュリティ上の問題となりつつあるACH決済

　これらの不正で、犯罪者はAutomated Cleaning House: ACHのネットワークを利用しているとも指摘されている。ACHは米国の連邦準備銀行(FRB)などによって運用され、振込みや小切手、請求書の支払い、銀行間の資金決済を電子的に行う決済システムだ。また、ACHが関係する不正は、失業率が高い現在、増加の傾向にある。

　そして、中小企業では大企業ほど口座監視が行われていないことから、権限なしの送金に気付くのが遅れる可能性が高い。NACHAの警告については『Computerworld』も報じていて、ボストンに本拠を置くAite Group LLCのアナリスト、Nick Hollandから話を聞いている。Hollandによると、小規模事業からの銀行のクレデンシャルの盗難は以前から問題となっているという。

　ただし、ACHネットワークを用いて、法人口座から不正に大金を送金することについては、深刻になりつつある問題だ。昨年、Aite Groupが行った銀行の調査で、多くの企業、特に規模が小さい企業は、口座の資金を送金するACHのようなチャンネルの悪用を防ぐためのコントロールをあまり持たないことをHollandは指摘している。

　Aite Groupでは、ACHネットワークはセキュリティ上の懸念となりうるという姿勢だ。ACHは、かつてはリスクが低いとされていたが、使用が広がるにつれ、犯罪者のターゲットになるケースが増えている。ACHネットワークを監視するNACHAによると2008年ACHの支払い件数は182億件を超えたという。これは2007年から120万件の増加だ。

　金融機関ではクレジットカードやデビットカードの不正を防ぐためにさまざまな努力を行っている。しかし、ACHをはじめ、電子支払いチャンネルを管理するために同様の取り締まりは行われていない。

　ACH不正にはさまざまなものがあるが、ひとつは法人顧客のオンラインクレデンシャルを攻撃して、被害者名義でACHファイルを作成して、被害者が気付く前に現金を引き出してしまうというものだ。NACHAが警告している不正は、数カ所に送金してしまう。

●高度化する不正

　ACH不正について報じた、7月28日付の『SearchFinancialSecurity.com』の記事では、GartnerのAvivah Litanが「特定の地域にある企業の資金を管理するマネージャーを特定」していると指摘する。すなわち攻撃対象が利用している金融機関を予測して、ターゲットをしぼってフィッシングメールなどを送付してくるということになるため、より高度な攻撃で、防御も難しい。

　さらにトロイの木馬をはじめとするマルウェアも進化していて、情報を盗難しながら、ユーザもその事態に気付かないという。NACHAの警告では、サイバー犯罪者が小規模な企業をターゲットにしているのは、しっかりした認証手続き、トランザクション制御、警戒機能が欠けているためだ。ということは逆にこの3つを整えることが、攻撃から守ることになる。

『findlaw.com』では、企業は防御のために
・強力な二要素認証に投資を行い、権限のないユーザが企業の口座にアクセスするのが難しいようにする
・会社の口座に疑わしい、もしくは通常とは違う活動があるとき連絡があるように警告システムを設定する
・1台のマシンだけでなく、Windowsのツールを用いて、ドメイン上の他のマシンも感染するようになっているClampiというトロイの木馬に対してシステムを保護する。Clampiはオンラインバンキングのログイン認証情報を盗むことで知られている
・自社が使っている金融機関のログインページのように見えるフィッシングサイトに注意。金融機関のWebサイトにログインするつもりが、サイバー犯罪者にユーザ名やパスワードを盗まれて企業の口座が攻撃されてしまう・添付書類に注意。マルウェアが仕掛けられていて、やはりログイン情報を盗まれてしまう危険がある
を挙げている。

　また、2007年と少し古いが、Capital One Financial Corporation と
National Cyber Security Alliance (NCSA) が、規模の小さい企業向けにサイバー犯罪を防ぐためのヒントを発表している…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec