企業の被害が再び増加、ネット口座の不正送金を防ぐには？：セキュリティ強化塾（5/6 ページ）

[キーマンズネット]

　不正送金の4つの手口を紹介した。では次にどう対策をとればよいかを考えてみよう。

オンラインバンキングに利用するPCを限定する、申請と承認のPCを別にする

　現在、ウイルスを利用する手口が主流であることから、ウイルス感染を防ぐことが最大の対策となる。ウイルスへの感染経路として、Web、メール、LAN内の他のPC、USBメモリなどの外部記録メディアが挙げられる。そこで外部記録メディアを接続できないように設定したオンラインバンキング専用PCを用意し、専用のLANで利用すれば感染経路を絞れるだろう。

　現実には難しい場合が多いだろうが、少なくともオンラインバンキング用PCでは不要なWebブラウジングも含めて他の業務を行わず、メールも使わないようにしておきたい。また、オンラインバンキング取引の申請者と、その承認者の役割分担をし、それぞれ別のPCを利用するのも有効な対策になる。

脆弱（ぜいじゃく）性をなくし、ウイルス感染を防ぐ

　ウイルス対策ツールをゲートウェイのみならず端末個々にも導入することは既知のウイルスへの感染を防ぐのに不可欠だ。それと同時にウイルス感染を呼びこむシステムの脆弱性を常になくす努力も必要になる。OSやミドルウェア、アプリケーションに最新のセキュリティパッチを適用し、バージョンアップがあればできるだけ早く切り替えるようにすれば、脆弱性を狙う新種ウイルスへの感染を予防できる。

　特にFlash PlayerとAcrobat Reader、Java Runtime Environment（JRE）といった脆弱性の発見が頻繁な「御三家」については、常にパッチ提供の状況に注意しておきたい。そもそも業務で使う必要性がないのであれば、アンインストールしてしまうのも効果的だ。

　もっともどれだけ脆弱性をなくす努力をしていても、新しい脆弱性に対するベンダー側での対応の前に、その脆弱性を狙った攻撃を行う「ゼロデイ攻撃」には耐えられない。念のために振る舞い検知型のウイルス対策ソフトを追加したり、サンドボックスを導入したりすることも考えたい。

　なお、企業ではパッチ適用やバージョンアップの前に、システムの動作検証をして業務に支障が出ないことを確認する必要がある。しかしその作業に時間を費やす間、どんどん感染可能性が高まってしまうことも考えなければならない。オンラインバンキング用のPCは他の業務PCよりも優先して最新パッチやバージョンを適用する運用ルールを作っておきたい。

トランザクション認証を利用する

　取引ごとにワンタイムパスワードを生成する「トランザクション認証」は、ウイルスを利用する手口でも破られない強固な対策になる。これはチャレンジ＆レスポンス型のワンタイムパスワードを利用する。

　ユーザーが手元にあるテンキー付きのワンタイムパスワードトークンや専用のスマホアプリに、振込先口座番号や振込金額等を入力すると、その送金情報専用の署名が生成される。この署名を送金情報と併せてオンラインバンキングの送金処理画面に入力する。

　金融機関ではユーザーのトークン番号を照合し、送信情報とともに対応する認証サーバに転送して検証用署名を生成する。ユーザーから送信された署名と認証サーバで生成された署名を照合して、合致すれば初めて送金処理が実行される。

　この方法はMITB攻撃にも有効な認証方式であり安全性が高いが、現在のところ、大手銀行など少数の金融機関しか提供していないのが難点だ。