多要素認証にスマホを利用する金融機関が攻撃対象となる可能性を指摘（トーマツ）

トーマツは、クライシスマネジメントに関する日本企業の実態調査結果を発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2015.2.16 Mon 19:02

有限責任監査法人トーマツは2月16日、クライシスマネジメントに関する企業の実態調査結果を発表した。クライシスマネジメントとは、組織の戦略目標、レピュテーション、その組織の存在をも著しく毀損させる可能性のある大規模な、もしくは複合的な事象（クライシス）が発現した場合、損失を最大限抑えるように管理し、影響の低減を図る活動のこと。広義のリスクマネジメントに含まれるが、狭義のそれとは異なりリスクの発現後の影響を低減する取り組みとなる。

本調査は2014年10月から11月、日本の上場企業を対象にアンケートにより実施したもの。有効回答数は431社。調査はクライシスマネジメントの8つのカテゴリ（システム関連、不正関連、自然災害関連、製品関連、経済・法律関連、政治関連、環境関連、レピュテーション関連）に対して行われ、同社のクライシスマネジメントの日本リーダーである飯塚智氏は、「海外子会社を含めクライシスの経験数が増加していること」「クライシスへの対応策は総じて『最低限の対応策』にとどまっていること」が明らかになったとしている。

また、同社デロイトトーマツサイバーセキュリティ研究所の主任研究員である岩井博樹氏は、モバイル端末を狙うサイバー攻撃の増加について警鐘を鳴らした。岩井氏は同社でのC＆Cサーバの報告件数として、一昨年と昨年を比較して「ZeuS」は増加しているが「Citadel」は減少している。しかし、これはオンラインバンキング不正送金ツールに地域性が出てきているためで、メジャーなツールでは傾向が見えなくなってきていると指摘した。

C＆Cサーバの国内での観測結果の分析から、日本国内でプロバイダ契約している利用者が不正送金などを行っている可能性が高いとした。また、iBankingトロイの木馬のソースコードが流出したことで、このデータを利用した「Malware as a Service」が登場しており、メール送信やSMS、電話履歴、電話帳などの機能が提供されているという。さらにモバイルバンキングでは、多要素認証にスマートフォンを利用している金融機関がターゲットになる可能性が高く、またスマートフォンとPCの両方を狙う攻撃も予測した。

《吉澤亨史（ Kouji Yoshizawa ）》