インターネットバンキングのサイバー攻撃対策事情、ジャパンネット銀行の取り組み:事例で学ぶ!業務改善のヒント(2/2 ページ)
日本初のインターネット専業銀行、ジャパンネット銀行ではさまざまなセキュリティ対策を実施。日々新たな「不正送金マルウェア」が見つかる中、同社ではどのような対策を行っているのか?その取り組みを追った。
適用範囲をインターネットバンキングに拡大し、さまざまな不正を検出
こうしてジャパンネット銀行では2015年3月、社内システムのログを収集し、標的型攻撃をはじめとするさまざまな脅威が社員のPCに潜んでいないか速やかに検出することを目的に、Splunk Enterpriseの運用を開始した。
「検索速度が速いのは気に入っていますし、検索結果をすぐにビジュアライズできることもメリットでした。サーチ処理言語(Search Processing Language:SPL)も最初は慣れませんでしたが、トレーニングを受けたこともあり、最近では違和感なく使っています」(小澤氏)
Splunk Enterpriseで日々さまざまな情報を検索しはじめて2〜3カ月もしないうちに、小澤氏は「これはインターネットバンキングの不正検知にも使えるのではないか」と気付いたという。
ここ数年、金銭目的のサイバー犯罪は増加の一途をたどっており、日本の金融機関を狙う不正送金マルウェアがたびたび警告されている。その際、犯罪者は効率的に金銭を窃取するため、複数の銀行の利用者をターゲットに、共通のマルウェアや同一のC&Cサーバを用いることが多い。従ってそれらの情報が把握できれば、第二の被害、第三の被害を未然に食い止められる。
こうしたことから金融ISACでは、ある銀行から報告された不正送金マルウェアの情報をメンバー間で共有し、速やかな対処を支援してきた。「今も1日あたり5〜6件、ほぼ毎日のように情報が提供されています」(小澤氏)
だがSplunk Enterpriseの導入以前は、不正口座のモニタリングを専門に行う部門にいったんIPアドレス情報を渡して調査を依頼し、1〜2日後に返答がくるといったペースで対応していた。「マルウェアをばらまいて他人の口座にログインし、不正送金するサイバー攻撃と、不正な口座利用のモニタリングとでは業務の範囲が異なっているため、せっかく情報をもらってもあまり役立てられていませんでした」(小澤氏)。これでは、不正送金の被害に遭っている顧客を特定して対処を依頼するころには、後の祭りになってしまう恐れがある。
そこでジャパンネット銀行ではSplunk Enterpriseの活用範囲を広げてインターネットバンキングのアクセスログも取り込み、内外から得られる不正の兆候と付き合わせることで、顧客を狙うサイバー犯罪の早期検出に取り組んでいる。「例えばマルウェアでMan in the Middle(MITM:中間者攻撃)を行い、お客さまのIDとパスワードを奪い取った犯人が、自分のPCからなりすましアクセスしてきた場合、金融ISACを通してその端末の情報を共有することで、同じインシデントが発生していないかをすぐに検索しています」(小澤氏)
さらに、複数の種類のログを取り込んで相関分析を実施することで、第三者による不正ログインやなりすましの痕跡を補足するという取り組みも行っている。
攻撃者に後れを取るのではなく、一歩先んじた対策に取り組む
ジャパンネット銀行をはじめとする金融機関や警察の対策が進んだ結果、不正送金の被害額は減少傾向にある。それでも警察庁の発表によると、2016年に発生したインターネットバンキングの不正送金は1291件、被害額は16億8700万円に上るなど、依然として多額の金銭が不正に盗み取られている。
「今、国内で一番主流になっているインターネットバンキングマルウェアに『DreamBot』がありますが、ジャパンネット銀行ではいくつかの方法を組み合わせ、これに感染したお客さまを検知できるようになっています。その上でお客さまに電話して駆除などの対応を依頼したり、銀行システムと連携して送金限度額を自動的にゼロに変更したりと、マルウェアによる不正送金ができないようにして、先手を打って被害を防いでいます」(小澤氏)。
同様に、ジャパンネット銀行を語ったフィッシングサイトが作られそうになると先回りして検知し、JPCERT/CCやフィッシング対策協議会、警察などに通報して対応を依頼するフローを整えた。「全てではありませんが、一部では攻撃者を先回りできるようになってきました。これができるのは、複数のログをまたいで見ることができるSplunk Enterpriseがあるおかげです」と同氏はいう。
今後は、Splunk Enterpriseの分析で得られたアラートを元に、ファイアウォールやIPSといったセキュリティ機器と連携して自動的に攻撃を遮断するような仕組み作りに取り組んでいく計画だ。現時点ではまだ、不正なIPアドレスを遮断する設定は手作業で行っているが、自動化で、感染拡大防止のさらなるスピードアップに挑む。もう1つのチャレンジは機械学習の活用だ。「不正な取引を行っているユーザーの行動を学習させ、新たな不正取引につながるパターンを機械学習で拾えないかと考えている」(小澤氏)
「インターネットバンキングという事業の性質上、安心と安全を追求するのはもちろんのこと、インターネット専業銀行ならではの利便性を追求し、お客さまに提供していきたいと考えています。経営層から現場まで、安心・安全と利便性、その両方を重視するという姿勢で銀行を運営し、そのための予算もかなり投じています」という小澤氏。今後もその姿勢を貫き、セキュリティに取り組んでいくという。
Copyright © ITmedia, Inc. All Rights Reserved.