ＩＴ維新研究所

新型のウエブウィルス「ガンブラー」にご注意

【はじめに】

前回に引き続き、新型ウィルスをテーマにしたいと思います。

新型ウィルスといっても、風邪のインフルエンザの話ではありません。

現在、ウェブ上で猛威をふるっている「ガンブラー」という
コンピュータウィルスのことです。

読者の中には、自分とは直接関係ないと考えていらっしゃる方も多いかと
思いますので、敢えてどんなサイトが改ざんされているのか
具体的なサイト名をリストアップしてみました。

そして、心当たりの方は、早急に自己防衛なさることをお奨めします。

【改ざんされたサイトの具体例】

コンピューターウイルス「ガンブラー」やその亜種による
ウェブサイトの改ざんが増え続けています。

改ざんを公表しているサイトをピックアップしてみると、
「別添リスト」のようになります。

これらのリストは、サイトで公表されている一部のリストに過ぎません。

リストアップしていて、こんなにも数多くの大小のサイトが、
このウィルスに犯されているという事実を知って自分でも驚いています。

正直なところ、ここまで、幅広く広がっているとは思ってもいませんでした。。

これまでは、企業中心だったターゲットが自治体や大学、独立行政法人など
のサイトにも拡大していることを確認していただけると思います。

勿論このリスト以外の数多くのサイトが「ガンブラーと亜種」に
犯されている可能性があます。

更に、個人で運営しているサイトも数多くあり、
感染に気づいていない場合が多いと思われます。

皆さんの中で、このリストにアクセスした方もいらっしゃる方も
おられると思います。

心当たりのある方は勿論ですが、心当たりのない方もインターネットに
アクセスするＰＣの状況を自己診断され早急に対策をなさることをお奨めします。

【新型ウエブウイルスの特徴】

新型のタイプでは、従来型と違い、サイトを改ざんするだけでなく、
クレジットカード番号等を盗む仕組みが加わるなど、
犯罪の意図が明確になってきています。

ウイルス対策会社「カスペルスキーラブスジャパン」（東京）の調査では、
このタイプの改ざんは、昨年の１２月２４日以降、国内３８０以上のサイトで
確認されたそうです。

改ざんを受けたサイトは、前述したリストの中にあるように、
ＪＲ東日本やホンダ、ハウス食品などの大企業のホームページも
次々に被害にあっています。

国内で少なくとも３５００サイトで感染が確認されているとのことです。

ＪＲ東日本で約５万人、ホンダで約５千人、ハウス食品では約１万２千人に
感染の可能性があるというのです。

ガンブラー・ウイルスによる被害は、ハッカーがウイルスなどを使って
企業のホームページ管理用のＩＤとパスワードを入手し、
そのホームページを改ざんすることから始まります。

改ざんされたホームページは、アクセスしたユーザーを
別の不正なホームページに誘導し、
さまざまな目的を持ったコンピュータウイルスをアクセスしたパソコンに
勝手にダウンロードさせてしまいます。

改ざんされたウエブサイトからダウンロードされるウイルスは、
今後、個人の銀行の口座番号やパスワードを盗むような、
より悪質なものが加わってくる可能性は大です。

金銭的な被害が発生するのは時間の問題です。

【感染源と感染防御策は】

◆ウェブサイト制作会社が感染源か

改ざんされたサイトを分析したところ、
同一の制作会社が運営しているサイトがみつかったとのことです。

大手企業は、ウェブの制作・変更はすべて制作会社に委託しているケースが多いのです。

従って、ウェブサイト制作会社が感染源になっている可能性が高いといわれています。

ガンブラーはウェブサイトの更新に使われるFTPというソフトのID・パスワードを
盗み取ってホームページを改ざんします。

改ざんされたサイトは、どこかでFTPのID・パスワードを盗まれていたのです。

◆防御には、単なるウイルス駆除ソフトでは駄目

ガンブラーはパソコンの設定ファイル（レジストリ）を書き換え、
ネットワークに流れるデータを監視しており、
データの中からFTPのID・パスワードを収集して外部に送信する仕組みとなっています。

もし感染に気づかないままでいれば、常にFTPのID・パスワードが犯人側に
送信されてしまう仕組みになっているのです。

ウィルス駆除ソフトを導入しているから安心というわけではありません。

なぜなら、ウイルス対策ソフトのウィルス検出用のパターンファイルが、
ガンブラーの亜種を早期には検知できないからです。

亜種が登場するスピードが速すぎて、
パターンファイルの作成が追いつかずに感染の検知・駆除がむずかしいのです。

ガンブラー対策のためには、
「URLフィルタリング機能」の付いたウイルス対策ソフトを導入する必要があります。

ご自身のＰＣに導入されているウィルス対策ソフトをチェックしてみてください。

◆フラッシュプレーヤー、アクロバットリーダーなどは最新に

ＰＣには、基本ソフト以外にいろいろなソフトが導入されています。

これらのソフトは最新バージョンに常にアップデートすることが重要です。

マイクロソフトオフィス、アドビフラッシュプレーヤー、
アドビアクロバットリーダー等のソフトは常に最新バージョンに更新しておきましょう。

◆詳細情報は、サイバークリーンセンターにアクセスしてください。

サイバークリーンセンター（CCC）は、
総務省と経済産業省が連携して運営している国のボット対策プロジェクトですが、
ガンブラーやボットの感染を防ぐために、
各種ソフトを最新バージョンに保持する方法を、詳しくまとめています。

このページを参考にＰＣの設定をしておけば、ウェブサイトからのウイルス感染の確率を減らすことができます。

【まとめ】

今回は、新型のウェッブウイルスについてその危険性と防御策に関しての
情報を取り上げました。

日常的に身近にアクセスしているサイトが、ガンブラーウィルスに犯されていて、
これに気づかずアクセスして、自分のＰＣもウィルスに犯されてしまい、
ＩＤやパスワードが盗まれてしまうということになります。

前回は、「トロイの木馬」というウィルスを紹介しましたが、
今回は、「ガンブラー」です。

サイトに忍び込み、アクセスしたＰＣにウィルスを感染させ、
個人情報を盗みとってしまうといういろいろな「新型ウィルスとウィルスの亜種」
が蔓延してきています。

しかも、ウィルスの目的が金銭の盗み出しということも最近の傾向です。

インターネットサイトにアクセスする場合には、
アクセスするＰＣのウイルス対策は十分であるのか、
最新バージョンのソフトをインストールしているのか
の自己点検が必須条件ということを肝に銘じる必要があるということです。

【別添】改ざんされたウエブサイトのリスト

オーク情報システム、サロンドグレー／クレッセント、日本血液浄化技術学会、日本大学歯学部同窓会、日本アクションラーニング協会、おかやまファーマーズ・サウスヴィレッジ、日本ＬＰガス協会、首都圏システム開発、ゾロOFFICIAL WEB SITE、降秦商行、ひめの矯正歯科、すまいる歯科、カグー、プラザスタイル、西日本企画サービス、さくら亭、経営戦略研究所、アルゴノート、インターメディカル、ミュージックグリッド、IGOAMIGOホームページ、あゆみ共同保育所、テイクス、福水グループ、ケイバ、ピーツーワンソフト・インコーポレイテッド、アルテサロンホールディングス、ゴギャン展2009公式サイト/NHKプロモーション、エコルート、フランスベッド、リーダー電子、ＳＤＭ、雇用・能力開発機構　大阪、ワイドレジャー、エヌイーホールディングス、フェザー、淺川鍼灸整骨院、遠鉄百貨店、海老名第一ビルディング、武市ウインド名古屋、林原グループ、wazacule、ハート＆カラー、ムーンスター、東急ステイサービス、エムエスティ保険サービス、三栄コーポレーション、サイバーエージェント、ハウス食品、東京財団、データリンクス、京王電鉄、ピロング、恵那バッテリー電装、ナショナル・クリエイターズ・カンファレンス、大学図書館問題研究会、、モロゾフ、民主党東京都総支部連合会、ローソン、検索エンジンMooter、デジタルマガジン、ディズニー、信越放送、FX為替情報検索、野村ビルマネジメント、京成トラベルサービス、本田技研工業、ＪＲ東日本、ラジオ関西、東京大学大学院教育学研究科、中小企業基盤整備機構、札幌市公園緑化協会、仙台国際交流協会、

等々です。

続トロイの木馬

【どんな被害が発生するのか】

「このトロイの木馬」は、数多くの亜種が次から次へと生成され、通常の
ホームページに忍び込み、このサイトにアクセスした無防備のパソコンに
組み込まれてしまうのです。

本人が知らない間に、自分のパソコンに「トロイの木馬」が仕込まれてしまう。

このことに気づかずに、パソコンの操作状況がモニターされ、銀行取引や
クレジットカードでのショッピングデータが盗み取られてしまうのです。

そして、この盗み取られたデータをベースに、銀行預金が犯人の口座に振り込まれ
預金を盗まれてしまうのです。

また、盗まれたクレジットカードのデータにより、ショッピングが行われ、自分では
買った覚えのないクレジットの請求がなされる等の被害にあうことになるのです。

【現実問題として日本での対応】

この事実を具体的な事例で察知して、いち早く対応したのが、
三井住友銀行です。お客様のパソコンに入り込んでしまった兆候をいち早く察知し、
迅速で、能動的な対策を行うことにより、お客様の被害を防御する対策です。

具体的には、「トロイの木馬」を配布しているサイト等を検知し、閉鎖するサービス
である「RSA FraudActionサービス」の新機能である「Anti-TrojanService」という
オプションサービスを日本で初めて導入しています。

【SMBCダイレクトのセキュリティー対策】

三井住友銀行のインターネットバンキングである、「SMBCダイレクト」の
セキュリティー対策をホームページを参照すると、各種の対策が装備されています。
大変参考になることが掲出されています。是非読者の皆さんも参考にされること
をお奨めします。

◆要約するとセキュリティー対策として五項目◆
1)システム、通信に強力な防御体制
2)他人には使えないような仕組
3)パスワードをしっかり守る対策
4)万が一の被害を最小限に抑える対策
5)ネット犯罪「フィツシング詐欺」対策

◆このための具体的な手法例として八項目◆
1)ワンタイムパスワードの導入(有料)
2)ATMオートロックサービス
3)電子メールお知らせサービス(有料)
4)取引受付完了のご連絡メール
5)新型ソフトウェアキーボードの導入
6)自動終了方式の採用
7)ネット犯罪「フィツシング詐欺」対策
8)その他の取組
　・10桁の契約者番号によるお客様の特定、
　・3つの暗証番号による厳重な本人認証システム、
　・128ビットSSLの暗号通信方式、
　・インターネット専用の暗号番号の設定、　　等

以上が掲出されています。詳細に関しては、ホームページで、
ご確認ください。

【まとめ】

インターネットは、確かに便利ですし、ショッピングやインターネット
バンキングによる銀行取引はわれわれのライフスタイルを変えてきています。

その一方で、このような本人が気づかないうちに「トロイの木馬」が自分の
パソコンに忍び込んでしまう危険性があるということです。

ユーザーがこのような種類の攻撃から身を守るためには、
アンチウイルスソフトウェア、OS、ブラウザなどのソフトウェアを常に
最新の状態に保つ必要がある、ということを肝に命じておきたいものです。

そして、更には、サービスを提供する側にも、無知で不注意なお客様への注意を
喚起すると同時に、お客様の利益を守るための対策を積極的に行って欲しいものです。

遅くなりましたが、新年明けましておめでとうございます。
民主党政権になり、いろんな意味での変化が期待される一方で、
政権移行に伴う混乱も随所に顕在化してきています。
今年も厳しい年になりそうです。

今年一回目のテーマは、「トロイの木馬」です。

◆トロイの木馬の具体的被害事例

コンピュータを利用しているパソコンやサーバーに当事者が知らないうちに
仕込まれる、「トロイの木馬」のことをご存知の方は多いと思います。

「トロイの木馬」とは、ギリシア神話に登場する巨大な木馬のことであり、
ギリシア神話のトロイア戦争において、トロイ（トロイア、イリオス）を
陥落させる決め手となった装置のことです。
木製の大型の木馬中に人が隠れることができるようになっていた。

この「トロイの木馬」と類似の働きをするソフトウェアが現代の
インターネット上に存在するのです。

このトロイの木馬が具体的にどんな働きをし、どんな被害が発生している
のかは一般には知られていません

そこで、セキュリティ企業Finjanの研究者たちが、
オンラインバンキングを狙った新型のトロイの木馬の詳細を明らかにした、
記事を発見したので、一部を抜粋して紹介したいと思います。

【以下    CNET JAPAN http://bit.ly/2ytAAc の記事より抜粋】

このトロイの木馬は、オンラインバンキングのログイン認証情報を
盗むだけでなく、ユーザーがログインしている間に口座から実際に
金銭を盗み、偽の残高情報を表示するというのです。

オンラインバンキングを狙うこのトロイの木馬は「URLZone」と呼ばれ、
通常と異なる取引が検出された場合に作動する詐欺行為検出システムを
迂回するように作られています。

例えば口座から盗む金額を、口座の残高に基づいてその場で計算するよう
プログラムされているとのこと。

このマルウェアを配布しているサイトにアクセスした
コンピュータの数は約9万台で、そのうち感染したのは6400台、
成功率は7.5％になるという。

そして、トロイの木馬がインストールされたコンピュータのユーザー
のうち数百人が、銀行口座から金銭を盗まれたという。

8月中ごろの22日間にわたって、トロイの木馬を仕掛けた犯人たちは
43万8000ドル近くに相当する金額を盗んだ。

被害者は、感染していない別のコンピュータを使用して口座にアクセスした
ときや、ATMを使用したとき、または残高不足で取引を実行できなかった
ときに初めて、何かがおかしいと気付く。

【以上　抜粋】

このような巧妙な働きをする「トロイの木馬」が、インターネット上に存在
することを認識すべきということです。

インターネットは、確かに便利ですし、ショッピングやインターネット
バンキングによる銀行取引はわれわれのライフスタイルを変えてきています。

その一方で、このような本人が気づかないうちに「トロイの木馬」を自分の
パソコンに忍び込んでしまう危険性があるということです。

ユーザーがこのような種類の攻撃から身を守るためには、
アンチウイルスソフトウェア、OS、ブラウザなどのソフトウェアを常に
最新の状態に保つ必要がある、ということを肝に命じておきたいものです。

個人情報漏洩事件の教訓

【はじめに】

先月号で、「三菱ＵＦＪ証券」における個人情報漏洩事件を取り上げましたが、
その後も、数多くの個人情報漏洩事件が発生しています。
大きなものとしては、「アリコジャパン」と「アミューズ」の両方の通販ショップからのクレジットカード情報の漏洩があります。
クレジットカードの情報漏洩により、このクレジットカード情報により、クレジットカード所有者の知らない間に、不正な決済取引がおこなわれる可能性が発生します。
クレジットカード会社には、不正取引を感知・検出する機能が組み込まれており、これにより、異常が検出される場合が多いのですが、１００％完全というわけではありません。
インターネット通販が拡大する一方で、このような情報漏洩リスクも増大しているということを認識しておく必要があります。

ところで、この二事例に関しての概要を要約しておきましょう。

【アリコジャパンの事例】

アリコジャパンは、顧客の個人情報が外部に流出したおそれがあると発表しています。
クレジットカード情報の不正利用による被害も報告されているとのことです。
この事件が判明したのは、7月14日以降にクレジットカード会社より、同社顧客のカード情報が不正利用されたとの指摘を複数受けてのことです。
この手の事件は、外部からの指摘や内部告発等で判明するケースが多いのです。自社の管理システムの盲点を突いて情報が漏洩しているのです。

同社調査によれば、顧客情報が外部へ流出している可能性はきわめて高く、7月初旬ごろより不正利用が発生しており、1000件以上にのぼると見られています。

最大11万件の顧客情報が流出した可能性があるとのこと。

【アミューズの事例】

芸能プロダクション「アミューズ」の通信販売サイト「アスマート」から、カード情報を含む個人情報が外部へ流出したことがわかったとのこと。

原因は、同サイトの運営をアミューズより受託していた埼玉県川口市のテイパーズのウェブサーバが、外部より不正アクセスを受けたもの。

7月28日にクレジットカード会社より流出の可能性を指摘され、問題が判明した。攻撃元のIPから、中国のサーバ経由で攻撃が行われたと見られているとのこと。

クレジットカード番号や有効期限などクレジットカード情報3万4097件やメールアドレス情報等の11万6911件の流出が確認されているとのこと。

最大で顧客情報14万8680件が外部へ流出したおそれがあるとのこと。

【最近動向】

今回の上記の二件に関しては、流出経路、流出経緯に関しては、未だに詳細不明としています。外部からのアクセスの可能性が大きいといわれています。

一般的には、ＩＴシステムの情報漏洩事件には、内部の人間の関与のケースが多いのですが、今回のケースは、外部からの攻撃による可能性が大とのこと。
全く、内部の関係者が関与していないとは言い切れないようですが、システムの脆弱性に対する外部からの攻撃を許してしまったということになります。

そうであれば、インターネット通販を運営しているサイトに対する海外からの攻撃が活発化されたことになり、数多くある、通販サイトで共通の弱点が存在する可能性があります。

第三、第四の個人情報漏洩事件が発生している可能性が大きいということです。

【セキュリティー市場の伸び】

このような事件が発生すると大忙しになるのは、セキュリティーシステムに関与している業者のニーズが急激に高まることになります。

◆IDC Japanは、国内のセキュリティソフトウェア市場を調査し、2009年の成長率は4.4％で、同社の調査結果によれば、2008年の国内セキュリティソフトウェア市場規模は1911億円で、前年比成長率は5.5％。経済が低迷しているものの、2009年の成長率は4.4％を保ち、2013年の市場規模は2358億円になるとの見通し。

分野別に見ると、もっとも成長率が高いのは「セキュリティ、脆弱性管理」で、年間平均成長率は9.3％。日本版SOX法や内部統制対策の一環として、ログ管理製品を中心に需要が高まっており、今後はシステム統合管理や脆弱性診断など専門技術を要する製品の市場が拡大すると予測。

一方「アイデンティティ、アクセス管理」は2008年は低調だったが、2009年以降は内部統制の効率化に対する需要拡大により持ち直し、年間平均成長率は3.6％を維持すると予測。

◆富士経済は、セキュリティ関連製品やサービスの国内市場における動向の調査では、セキュリティを「オフィス」「ストア」「ホーム」「タウン」「スクール」「ホームランド」「カー」「パーソナル」の9分野に分けて市場を分析。

レポートによれば、情報漏洩対策製品の2008年の国内市場は、前年比6.8％増の235億円。

また2009年の市場見込みは前年比12.3％増の264億円で、さらに2012年の市場予測は295億円と、市場の拡大は今後も続くとの見込み。

◆ミック経済研究所は、内部統制型や情報漏洩防止型のセキュリティソリューション市場について、主要ベンダー140社のセキュリティソフトとアプライアンスサーバの出荷金額を調査し、内部統制型や情報漏洩防止型のセキュリティソリューションを36分野に分類し、市場動向をまとめている。

レポートによると、同市場は2007年度が980億円強、2008年度は前年比10.3％増の1080億円強へ成長。さらに2009年度は前年比12.2％増となる1215億円に達すると同社では分析。

全36分野のうち21分野で二桁の伸びを見せており、そのなかでも特に成長率が目立っているのはシングルサインオンとアイデンティティ管理分野。

シングルサインオンパッケージの2008年度市場は、前年比14.4％増の93億7000万円。認知度の高まりや内部統制など社会的背景から、大手企業以外の企業ユーザーにも定着しており、今後も二桁の伸びを維持するとの見通し。

またアイデンティティ管理パッケージの2008年度市場は、前年比20.3％の90億6000万円。日本版SOX法の施行に伴い、内部統制強化のための管理ツールとして浸透し始めているという。

【まとめ】

「風が吹けば桶屋が儲かる」というか、個人情報の漏洩事件が発生するたびに、セキュリティーに関わっている、コンサルタントや、システム商品開発会社、システム販売代理店
等への問い合わせや調査依頼が急増しているとのこと。
ＩＴ予算がカットされる経済状況の中で、この種の事件が発覚すると思わぬ出費が発生することになります。
一旦、このような情報漏洩事件が発生すれば、「顧客の信用失墜」は、勿論のことですが、「調査のための調査費の諸経費の発生」「損害発生のための弁償費用」「関係各省への対応」「マスコミ対応」「顧客照会のための特設窓口設置」等々の対応に追われることになります。どらかといえば、後ろ向きの仕事が急増することになるのです。

積極的な前向きの営業活動も自粛せざるを得ない状況に陥ることになります。

「泣きっ面に蜂」というか、企業活動としては、大打撃を受けることになります。

結果論として、通常からの「セキュリティー対策」が疎かになっていたことになります。

毎度、考えていることですが、「転ばぬ先の杖」といいますが、どの段階で、どの程度の杖を準備すればよいのかを判断することは、大変難しいことです。

しかしながら、この決断をできるのは、トップマネジメントしかいません。

一連の個人情報漏洩事件を教訓として、経営リスクの一環として、システムリスク管理の重要性を再認識すべきと思います。

三菱ＵＦＪ証券の顧客情報漏洩事件から学ぶべきこと

【はじめに】

情報漏えい事件を引き起こしたＩＴ要員が「不正アクセス禁止法違反」などの
容疑で逮捕されたことを受け、三菱UFJ証券は6月25日、再発防止に向けた方針
を発表しました。
更に、この容疑者は顧客情報以外にも、同社が社外から継続的に購入している
一般情報も持ち出していたことも併せて公表しています。

社内の情報管理体制の杜撰さを露呈した事件ですが、対岸の火事として放置
しておくわけにはいきません。

ＩＴシステムで、顧客情報を管理している企業に共通するシステムリスクの
一環といえます。

この事件では、システム部の部長代理が不正に顧客情報データベースに
アクセスし、約148万人もの顧客情報を持ち出し、
持ち出した顧客情報の中から、4万9159人分の個人情報を3社の名簿業者に
32万8000円で売却したとのことです。

この程度の金額で、職を失い、刑罰を受けることになったのですから、
割に合わない犯罪ということになりますが・・。

売却された個人情報は、名簿業者から数十社の企業に転売され、
リストに基づき不審な電話勧誘や問い合わせが相次いでいるとのことです。

【事件発覚後の対応】

三菱UFJ証券は事件が発覚した以降、「お客さま情報流出対策本部」を設置。

社外の有識者や専門家による調査委員会に外部の専門調査機関を交えて、
事実調査や原因究明を進め、調査委員会の報告書に基づく再発防止策の提言
を受けて、再発防止策を公表しています。ホームページに概要があります。

http://www.sc.mufg.jp/company/inform/apology/index.html

【事件発覚の事情】

ところで、今回の事件の発覚は、顧客クレームによるものとのことです。

「不動産業者等の勧誘が頻繁に入るようになった」との顧客からの相談を
受けて､顧客情報が外部に流出している可能性が高いと判断したということ
ですが、電話勧誘は通常化しており、自分の個人情報はあちこちに
分散登録されており、どんなルートで流出したものかを判断するのは難しい
と思われます。どのような調査が行われ原因が判明したかは不詳ですが、
ともかく自社の顧客情報の流出が判明し、4月8日に対外公表
および記者会見を行っています。

【顧客への対応】

１．情報流出顧客へのお詫びのご連絡

情報が流出した約5万名の顧客について、営業担当者が個別の電話や訪問
によりお詫びと事情説明を行うと同時に、お詫びの手紙を送付。

この作業だけでも大変な労力とコスト負担を強いられることになります。
通常の営業活動は、二の次にせざるを得ません。
経営に対するインパクトも大きなものがあります。

2．お問い合わせ窓口・弊社ホームページ内専用ページの設置

3．お詫びのしるしとしてのギフト券の送付

事態の重大性、顧客の経済面や精神面での被害、果たすべき社会的責任など
を総合的に考慮し、名簿業者に情報が流出した顧客に対し、
「お詫びのしるし」として、1万円相当のギフト券を6月下旬に送付。

これだけでも五億円のギフト券代金と郵送関連の経費が
発生することになります。

今回のような事件が発生すると、社会的な信用失墜だけでなく、
修復のための労働力と経済的に多大な出費が必要となります。

リスク管理に関するコストは、何事もない場合には、
カットの対象となりがちですが、保険と同様で、事故発生予防と
事故発生時の出費予想とのトレードオフの問題となります。

転ばぬ先の杖といいますが、セキュリティー対策には事前の対応が
必要ということです。

【公表されている再発防止策の要約】

再発防止策に関しての概要がホームページ上で公表されています。

要約をまとめてみました。

自社の自己点検のチェックリストとして役立つものと思われますので、
参考にしてください。

1．システムリスク評価への対応強化

経営陣の情報セキュリティ施策に対する実質的なコミットメントを
さらに強化するため､「事務リスク・情報セキュリティ委員会」
を設置し、システムリスク評価に基づく施策の検討・議論の場
（リスクベースアプローチの強化）とし、より実効性の高い合理的な
リスク管理体制を整備。

2．情報セキュリティ・ガバナンスの強化

情報セキュリティ管理の統括機能を一元化するため、７月1日付で、
「システム部が所管していた情報システムのセキュリティ管理」を
「情報セキュリティ管理部」へ移管し、システム部門に対する
監視・牽制機能を強化。

3．システム部署への監査機能強化

内部監査部システム監査室の情報セキュリティに関する監査プログラムを
見直すとともに、監査スキル等の向上を図り、
より深度のある内部監査の実施に注力。

4．部門間の牽制機能の確保

システム部を改組し、「開発」、「運用」、「監視機能」を分離して、
システム部門内における監視体制を明確化。

5．外部委託先を含めた各種手続きの運用実態の検証と、その実効性の確保

個人情報の適切な保護に関する方針として「個人情報保護方針」を、
情報セキュリティに係る基本規程として「情報資産リスク管理規程」、
「情報管理手続」、「個人情報保護手続」、「情報システム管理手続」等
の規程の再確認。

「外部委託先が運用しているオペレータルーム」では、
弊社手続きが徹底されておらず、手続き自体にも不十分な点があったため、
外部委託先を含めた各種手続きの運用実態の実効性の確保を図るため、
オペレータルーム専用の運用管理手続きを定め、
全オペレータにその内容を徹底。

6．不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、
当該権限等の分断又は幅広い権限等を有する職員への管理・牽制の強化

行為者は、顧客情報等の検索ツールの開発・運用等に従事しており､
個人顧客情報の不正持出しを可能とする一連の権限等が分断されておらず、
行為者への管理・牽制も不十分のため、改善策として、
7月1日付でシステム部を「システム統括部」と「システム推進部」とに
分割・再編し、運用部門として独立させた「運用管理室」を
システム推進部の内室として新設し、開発、運用に係る権限等を分断。

また、ＩＤ・パスワード管理の強化、顧客情報検索のログデータの監視、
顧客情報へのアクセスログの検証、防犯カメラの増設等
による牽制機能の強化。

7．不正行為の隠蔽の防止

行為者は、他人のＩＤを使用するなど不正を隠蔽する行為を行いました。
これは利用権限の抹消が漏れていたことが背景にあったため､抹消確認の
手続きを強化。

また同時に、顧客情報の検索が可能なシステムについてのログデータの監視等
を強化。

8.教育研修の強化

各層への多面的な研修を行い、職業倫理の徹底、管理者への部下の労務管理
の研修、等を含めたセキュリティー対策のための研修プログラム実施。

更に、重要なことは、外部委託会社職員に対する研修の実施です。
外部委託先と共同で綿密な研修と指導が必要ということです。

9．内部監査部システム監査室のシステム部署への監査強化

システム監査室の情報セキュリティに関する監査プログラムを見直す
とともに実地監査時に外部専門家を監査メンバーに加えるなどにより、
システム監査スキル等の向上についても一層注力。

【まとめ】

ＩＴ要員が、システムの盲点をついて顧客情報を外部に流出させる事件は
数多く発生しています。
しかし、現実には、流出したかどうかもわからない場合が多い
と言われています。

なぜなら、今回のように顧客クレームから発覚したという事例は
稀ではないかと思われるからです。

今回のようなＩＴ要員による顧客ファイルの外部持ち出し事件は、
金融業界に対する信頼を著しく失墜させたものであり、
本来お客さまの情報を守るべき立場の金融機関の社員が、
このような事件を起こしたことはきわめて恥ずかしい事件でした。

顧客情報は、金融業者にとってその基礎を形成するものであり、
個人情報保護の観点からもその厳重な管理システムが重要なことを
再認識したいものです｡

個人情報保護法の精神が風化しているようです

久しぶりの投稿となります。
世の中は大きく変わろうとしています。
既存の技術基盤が大きく変わろうとしています。

ところで、今回は、「個人情報の漏洩」の問題を
採り上げました。

◆はじめに
セキュリティーネクストというサイトをご存知ですか

http://www.security-next.com/

このサイトは、情報漏えい等に関してのニュースを掲載している
サイトですが、久しぶりにこのサイトを覗いて見ました。

相変わらす、情報漏えい事件が続発しているようです。

毎日のように情報漏えい事件のニュースがリストアップされています。

この中から、最近の記事をピックアップしてみました。

【事例１】
三菱UFJ証券の元従業員が、約148万件の個人情報を不正に持ち出し、
一部が名簿業者へ売却されていたことがわかった。
名簿はすでに転売されており、三菱UFJ証券では
流出先の特定やリストの回収を急いでいる。

不正に持ち出したのは同社システム部の元従業員で、
自宅に持ち帰った顧客情報148万6651人分のうち、
2008年10月から2009年1月までに同社で新規口座や
投信ラップ口座を開設した顧客情報4万9159人分を名簿業者へ売却していた。

流出した個人情報には、氏名や住所、電話番号、性別、
職業、年収のほか、勤務先の住所や電話番号、部署、役職などが含まれる。

◆この種の事件は、システム関連の人間が起こす内部不正事件です。
不況になってくると起こりやすい環境になってきます。
ギャンブルや株式投資等で損失を負ってしまい、
借金返済のために身近にある顧客情報ファイルを持ち出し、
名簿業者に販売し現金を手に入れようとする者が現れるのです。
システム部門やシステム開発会社の派遣社員は
システム開発・運用のために「顧客情報ファイル」へのアクセス方法を
熟知しているために、アクセスの盲点を狙ってこのファイルを外部に持ち出し
転売するという事件が数多く報告されています。

システム部門の内部統制ルールの確立と内部監視体制の厳正化が
不可欠なことは言うまでもありませんが、システムの開発の効率化と
生産性の向上施策とのバランスの問題があり、企業経営上も悩ましい問題です。
しかし、このような事件が発生すると企業への信頼度が
急激に失墜することになるので、内部統制ルールの見直しと
運用の厳正化を再度徹底する必要があります。

【事例２】
総務省は、情報流通行政局地上放送課において会合参加者など
関係者へメール送信を行った際、メールアドレスが流出したと発表した。

4月10日19時半ごろ、総務省地上デジタル放送国民運動推進本部の
「デジタル・サポート推進部会」における構成員候補者や事務担当者に
対してメールを送信したが、操作ミスにより本来確認できない
他受信者のメールアドレス20人分が閲覧できる状態になったという。

◆この事例も昔からある事例です。
われわれ自身もメールを発信する時に気をつけなければならない事項のひとつです。
メールを複数のあて先に送信するときに、メーリングリストを
メールのあて先のＢＣＣ：欄とＣＣ：欄を間違えて挿入してしまうミスです。
本来は、ＢＣＣ：欄に挿入すべきをＣＣ：欄に挿入してしまうと、
送信先の全員の受信メールから送信先全員のメールアドレスが
公開されてしまうということになります。
メールを受信した者のなかで、悪意のある人物が含まれていた場合、
このメールで知り得たメールアドレスを利用して不正を働くと
危険性が生じるということです。

具体的には、このメールアドレスが転売され、
このメールアドレス先に広告宣伝等の迷惑メールを送信されたり、
更に、悪質なのはこのメールアドレスを悪質アダルトサイトに転売され、
このアダルトサイトが架空請求のメールを送りつけて
架空の利用料金を請求するという事件に発展するという事例もあります。
メールを発信する時についうっかり間違ってしまうことがあり得ます。
特に、不特定の会員にメール送信する場合には注意が必要です。
日常の慣れからくるミスや新人によるミスが多いようです。
メール送信の基礎の基礎を再確認する必要があるようです。

【事例３】
日本生命保険、第一生命保険、全国共済農業協同組合連合会（JA共済連）は、
徳島県の元嘱託医により保管されていた顧客情報が、廃棄処分される課程で
所在不明になったことを明らかにした。

紛失したのは、生命保険や共済へ加入を希望した顧客の健康状態について
記載した書類。
日本生命の顧客250人分や第一生命の顧客373人分、
JA共済連の顧客110人分などあわせて733件で、
氏名、生年月日、職業、医学的情報など個人情報が記載されていた。

元嘱託医はすでに亡くなっており、業者が日用品などの処分を請け負ったが、
3月27日に処分場へ輸送する際、石井町の路上で一部書類を落とした。

◆この事例は、ドキュメントの廃棄処分過程で起こりうる事件です。
廃棄処分業者が運搬の途中で走行中に積荷を落下させ書類を路上に
ばら撒いてしまうと言う事例が時々発生しています。
ドキュメントの廃棄処分に際しては、信用のおける業者を選定すると
同時に処理プロセスに関しても十分な管理を徹底する必要があります。

◆【まとめ】

個人情報保護法が平成１５年に施行され、
企業内で扱う「個人情報」の取り扱いに関しては、
厳重な管理体制と教育体制が整っていると思っていたのですが、
現実は上記の事例を見る限りにおいては、そうでもなさそうです。

個人情報保護法が施行される前後では、
個人情報の取り扱いに関してのレール作り、
管理体制、教育体制等も整備の努力がなされたに違いありません。

しかしながら、施行後数年経ってしまった現在では、
このときの体制が風化し、体制に弛みが生じているように思われます。

セキュリティー対策は、いつの時代でも、
どのような経営環境の下でも企業経営に必須のものです。

セキュリティー対策を疎かにしたために、
経営の命取りに結びつく可能性が大ということを
肝に命じる必要があります。

現在のような、先行きの見えない不透明な経営環境のときこそ
再度セキュリティー対策の見直しが必要です。

■金融庁が「情報セキュリティーに関する検討会」の結果を公表

金融庁は7月13日、金融機関の「情報セキュリティに関する検討会」の検討結果を公表した。

今回の公表の最大の狙いは、①「情報セキュリティのリスクや対策について」、監督官庁である金融庁と全国の金融機関が共通認識を持つこと。

②「金融機関における情報セキュリティ対策」の更なる強化を促進すること。

　検討会は今年3月から6月にかけて3回開催され、全国銀行業協会や全国地方銀行協会、全国信用金庫協会、全国信用組合中央協会、金融情報システムセンターなどの業界団体や警察庁が参加している。

具体的な検討テーマは、①国内外でのATM（現金自動預け払い機）あるいはインターネット取引などを狙った不正な預金引き出しの手口や、情報セキュリティに関する技術面でのリスクなどを洗い出し、②どのような対策が有効であるかが検討された。

　検討結果の詳細について、検討会の参加団体を通じて全国の金融機関にフィードバックされている。

このフィードバックにより、国内外で過去に発生した情報セキュリティ上の犯罪が再発した場合、被害を受けた金融機関は、「あらかじめ想定できたはずのリスク」を防げなかった理由を金融庁に説明する責任が生じることになる。

「そうした犯罪の手口があるとは知らなかった」という言い訳は通用しないことになる。　個別の金融機関での早急な「情報セキュリティー対策の強化」対応が必要となる。

■検討結果の概要

１． 金融機関における検討のあり方

○金融機関は、セキュリティ対策を講じるにあたっては、まずは各金融機関がその経営責任において、犯罪の発生状況などを踏まえ、自らの顧客や業務の特性に応じた必要な検討を行った上で態勢の整備に努めるべきである。その際、以下の点に留意することが必要である。

①個別の対策を場当たり的に講じるのではなく、セキュリティ全体の向上を目指す
②リスクの存在を十分に認識・評価した上で、対策の要否・種類を決定する

○その際、リスク分析、セキュリティ対策の策定・実施、効果の検証、対策の評価・見直しからなる、いわゆるＰＤＣＡサイクルが機能していることが重要である。

ＡＴＭシステムに関する例示はあるので、インターネットバンキングに関しての検討手順に応用するとすれば、

①金融機関側に起因するリスクの把握（内部管理態勢の整備状況、システム開発の体制、システムの特性、システムの外部委託の状況等）

②インターネットバンキングの利用に関するリスクの把握（取引限度額、利用可能時間、インターネット利用環境、犯罪発生状況等）

③上記リスク特性を踏まえ、どのような犯罪手口・リスクに対処すべきかの優先順位付け
④自社に適応すべき具体的な対策の実施

⑤対策の効果の検証、改善を反復する。

○インターネットバンキングては、本人認証に関する方式は、ワンタイムパスワード等、多種多様で、その技術も日々進歩しており、情報収集・事後検証の重要性はより高いと考えられる。また、犯罪の手口は、グローバル化しており、海外の犯罪事例情報等も必要となる。

○新たなリスク・犯罪手口に対応するため、自らの情報収集体制の構築には限界があり、財団法人金融情報システムセンター・金融関係団体などとの連携強化などの将来を見据えた対応が求められる。

２． 具体的なリスクの事例

〔ＡＴＭシステム〕

①ＡＴＭコーナーに隠しカメラが設置され、暗証番号とキャッシュカードの券面情報を盗撮される
②ＡＴＭにスキミング装置が設置される
③被害にあう可能性のある顧客を特定できない
④被害にあう可能性のある顧客に対し、速やかに連絡・周知することができない
⑤防犯ビデオが十分に機能していない

〔インターネットバンキング〕

①スパイウェアによりＩＤと認証情報が漏洩する
②フィッシングサイトにおいてＩＤと認証情報が詐取される

３． 対策のあり方

〔ＡＴＭシステム〕

ＩＣカードに関しては、全銀協ＩＣキャッシュカード標準仕様を順守することにより、現時点においては安全性が確保されていると考えられる。

生体認証に関しては、現時点においては不正利用対策として、本人認証の有効な手段であるが、成長過程の技術でもあり、有効性や利用にあたっての留意事項等について、今後も継続的に評価していくことが必要である。

〔インターネットバンキング〕

インターネットバンキングにおける認証方式については、個々の認証方式が、各種犯罪手口に対してどの程度の強度を有するかを検証した上で、自社に適合すべき対策を選択すべきである。

（注）インターネットバンキングにおける認証方式の選択にあたっては、認証方式を「記憶認証」、「所持認証」、「生体認証」に分類した上で、複数の分野に属した認証方式を採用すべきとの考え方がある。しかし、その場合であっても、例えばスパイウェアにより認証に必要な情報が全て詐取される場合も考えられる。そのため、本検討会においては、個々の認証方式が各種犯罪手口に対してどの程度の強度を有するかを検証した上で、適切な認証方式を採用すべきとして、結論は保留している。即ち、「リスク分析に基づく認証方式の選択すべき」としている。

○特定のリスクへの対策は複数存在することから、これらを組み合わせて、自らに適した対策を選択すべきであるということである。

（例）口座情報・暗証番号が漏洩するリスクに対しては、暗号化など技術的に対応する方法のほかに、アクセス権限の厳格化などの管理運用態勢の強化による方法も忘れてはならない。

■今後の対応

○本検討会の検討結果については、

①参加各団体がそれぞれの基準・標準の改訂に活用する。
②金融庁としては、主要行等及び中小・地域金融機関向けの総合的な監督指針に盛り込む。

■まとめ

　金融庁は、検討結果のまとめの中で、「金融機関は経営の責任で情報セキュリティ対策を講じるべき」との考えを示している。

今回の検討結果を踏まえ、今秋にも銀行法に基づき金融機関の活動状況をチェックするための「監督指針」を改正する予定とのこと。

　金融機関の経営者は、情報セキュリティに関するリスクを自社の事業内容に照らし合わせ、業界団体やITベンダーに相談するなどして、早急に自社の責任で情報セキュリティ対策を講じていかなければならない。事故が発生してからでは遅いということを認識すべきである。

【編集後記】

やっと涼しくなってきました。
ここに三日東京は大雨が続いています。
しかし、
気温は夏型に戻ったり、肌寒い秋型になったりで天候不順です。
このために、風邪をひいている方が多いように思います。

地球温暖化、天候異常が顕著になってきているのでしょうか？

Winnyとはなにか？

■はじめに

最近、マスコミに再三登場する情報漏えい事件、ここに登場する言
葉が「Winny」です。

安倍晋三官房長官までも3月15日の記者会見で「Winnyを使わないで
」と国民に呼びかけました。

私自身、Winnyを利用したことはありません。
便利かなとは思ったのですが、利用のニーズが定かでなかったため
に、ダウンロードしませんでした。

従って、具体的な内容に関しては、詳細不明ですが、いろいろな情
報を集めてレポートしてみたいと思います。

■Winnyの何が問題なのか

最近発生しているWinny（ウィニー）による情報流失事件は、
Ａ）．Winnyを利用しているパソコンが、
Ｂ）．Antinny（アンティニー）というコンピュータウィルス
     に感染し、
Ｃ）．本人が気づかぬままに、外部に漏洩しては困る
     丸秘情報が勝手にインターネット上に送信されてしまう

という現象です。

ところで、Winnyとは、インターネットに接続したパソコン同士で
音楽や画像などのデータ交換を可能とする「ファイル交換ソフト」
のことです。

このファイル交換ソフトはメイドインジャパンのソフトで、東大の
大学院助手であった金子勇氏を中心として開発されたソフトウェア
です。

このソフトを利用すれば、音楽や画像を無料で入手できるた
め、金子氏自身は、「著作権法違反ほう助罪」で現在、公判中の状
況です。このソフトの機能とソフトを利用した著作権法違反の事件
があり、このツールを開発した人間に「ほう助罪」の罪が科せられ
ているわけです。

この問題は、拳銃をつくった人間とこの拳銃を使って殺人を犯した
犯人がいた場合、拳銃を作った人間を「殺人ほう助罪」での罪を問
うのと似ています。
従って、法廷でも賛否両論のある課題となって
います。現在、このソフトは、ダウンロードサイトは閉鎖されてい
ます。
従って、誰でもが簡単にダウンロードできる状況ではないよ
うですが、無料のソフトウェアであることと便利さから大量にコピ
ーされ利用されているようで、推定利用者は４００万人以上とも言
われています。

この「Winny」利用者のパソコンに「Antinny」というコンピュータ
ウィルスが感染し、情報漏えいにつながっているのです。

この｛Antinny｝ウイルスが世の中に登場したのは2003年であり、
その後いくつかの亜種が登場し、2004年3月には、Antinny.Gへの感
染により京都府警の捜査情報がWinnyネットワーク上に流出すると
いう事件が発生しました。

また、2005年夏には、重要インフラである原子力発電所関連の情報
が相次いでWinnyネットワーク上に流出するという事件が発生して
います。

「Winny」利用者の増加と「Antinny」ウイルスの発生自体も、それ
が原因で引き起こされた情報流出も、決して新しい事件ではないの
です。

最近報道された、自衛隊の組織に関する機密情報が流出したり、愛
知県警の捜査資料等の流出が問題になっていますが、実際には数年
前から、さまざまな個人情報や機密情報がWinny上を流れていたと
考えるべきでしょう。

従って、本人が気づかないうちに「Winny」を利用しているＰＣが
「Antinny」に汚染され、【重要】情報が流出しているかも知れな
いのです。

この「Antinny」に感染すると、PC内のさまざまなファイルや送受
信メールなどがWinnyの公開フォルダにアップロードされ、一旦公
開されたデータは回収することは不可能な状態になります。情報の
流出が話題になればなるほどそのデータを検索するユーザーが増え、
ますます収束から程遠い状態になってしまうという始末の悪い状況
に陥ることになります。

このように、インターネット上では、メールやＷｅｂサイトにアク
セスすることによりウィルスに感染し、丸秘とすべき情報を公開し
てしまうウイルスが複数報告されています。

一連の流出事件を受け、Winnyの利用禁止や私用PCの持ち込み禁止
といった泥縄式の対策が講じられていますが、インターネット社
会における情報管理に対する根本的な問題として捕らえる必要があ
ります。

■情報の「持ち出し方」に問題

一連の事件の背景にある問題としていくつか考えられることを列挙
してみたいと思います。

第一の問題は、コンピュータウイルスに対する認識不足が挙げられ
ます。

インターネットやメールで送られてくるファイルには、ウィルスに
感染した内容のものが含まれている可能性があるということです。

出所や内容の不確かなファイルは安易に開いてはいけないというこ
とを認識すべきなのです。

ウィルスチェッカーを導入していると時々このチェックに引っかか
るメールやサイト情報が飛び込んでくることがあります。
くれぐれも安易にクリックしないことです。

第二の問題としては、企業や組織における情報管理体制のずさんさ
が挙げられます。

報道された事例では、社内のPCではなく、自宅などにある私用ＰＣ
が「Antinny」に感染し、そこからさまざまな情報が流出していま
す。

本来ならば持ち出し禁止の「機密情報」や「個人情報」が、私用Ｐ
Ｃの中に保存されているということです。

意図的に金儲けのためとか、単純な好奇心から持ち出しの事例はモ
ラルの問題として論外にしても、仕事を自宅で作業するという日本
独特の慣習に起因する事例が大きな問題としてクローズアップされ
ています。

『PCは持ち出すな、時間外勤務はやめよ、納期は厳守のこと』とい
った組織の厳しい要求を果たすために「情報管理」がずさんになら
ざるを得ないという事情があります。

持ち出すことが悪いのではなく、持ち出し方や、持ち出した後の管
理までをガードするシステムが不備なのです。ＰＣを持ち出す必
要性や情報の持ち出しがないと仕事にならない状況を改善する方法
を実現することは、現実問題として困難かもしれません。従って、
どうしても持ち出さなければならない場合には、仮に紛失や盗難に
遭ったとしても大丈夫なように、暗号化などの対策を講じておくこ
とが必要ということです。

報道された記録から、流出が明らかになった企業や組織の発表を見
ると、個人情報保護の一環として「私用PCの持ち込みは禁止」「個
人情報の持ち出しは禁止」といったポリシーやルールを定めている
ところが多いようです。しかし、このポリシーやルールが周知徹底
されているかは疑問です。情報持出しルールを規定することは簡単
でも、実際に規定どおりに運用するの簡単ではありません。

ルールを作り、規定文書を配布するだけでは、周知徹底されたとは
言えないのです。

ルールが守られているかどうかを点検するシステムが必要であり、
ガードのための教育とツールの提供が不可欠なのです。

■ところで、当面の対策は？

「Winnyウイルス」による情報流出事件は、自衛隊の機密情報漏洩
事件として国会の質問でも取り上げられたために公になったわけで
すが、「個人情報漏えい対策や情報セキュリティ」の基本の基本が
実行されていないということを顕在化させたに過ぎません。

組織として情報をどのように取り扱うのかを、実際の業務のあり方
とリンクさせながら再度「情報セキュリティー対策」を見直すこと
が必要ということを物語っています。

今回の事件を教訓として緊急の対策としては考えられることを列挙
してみました。

第一に、「問題は他人事ではない」ことを認識すべきであるという
ことです。
ウイルスの感染時期と流出した情報に気づくタイミングには相当の
ギャップがあります。既に流出している情報があるにも係らず全く
気づいていない事象が数多く存在することは予想されます。従って、
早急に現状を見直し、必要な点検を実施することが肝要です。

第二に、個々人レベルではまず、「怪しげな情報に対しては、クリ
ックする前にファイルの内容に関して十分に安全性を確かめること
と安全性が確かめられないファイルは即刻削除する」ことです。

自宅のPCに「Winny」がインストールされているかどうかをチェッ
クし、知識が不足していると思うならば即刻削除すべきでしょう。

一連の情報流出事件の事例では、親が知らないうちに子供が勝手に
ＰＣに「Winny」をインストールし、ウイルスに感染していたとい
うのがあります。家族で共用のＰＣを利用している場合には、特に
【要注意】ということです。

第三に、企業や組織としては、Winny経由の場合も含め、いざ情報
が外部に流れた場合にどうするかの対策マニュアルを作成すること
です。対策をドキュメント化する過程で、経営的な課題も顕在化し
てくる筈であり、必要な対策の優先順位を明確化し、順次対応策を
実施することです。

第四に、システム的な仕組みや、ウィルス発見のためのツール等の
セキュリティ対策製品やデータベース監視ツール等の各種管理
ツールの導入を具体化する必要があるということです。

■まとめ

インターネット社会の進展により、われわれは利便性を享受するこ
とが可能になり、数多くの情報を安価に・簡単に入手できるように
なっています。

しかし、一方で、このインターネットの空間の中には、いろいろな
デマ情報や有害な情報も存在しています。更には、利用者が知らな
い間に個人の丸秘情報を持ち出してしまうコンピュータウィルスが
浮遊していることも現実です。

インターネットを利用する以上、これらのリスクに対する知識の習
得に努力すると同時に、これらの有害物の汚染を食い止めるための
予防対策が不可欠です。

防御のためのツールやワクチンの導入検討が不可欠です。

昨年の「個人情報保護法」の施行対応でいろいろな対策を検討して、
一応の対策は完了したとの認識があり、最近、「セキュリティー」
に関しての関心が薄れてきたという声も聞きます。

「のどもと過ぎれば熱さを忘れる」状態のように思います。

セキュリティー対策は、完璧・完結ということはあり得ません。

常に、新規のリスクが発生し、このための対策を常時見直す必要が
あります。

身の回りの「セキュリティー」対策の見直しを公的・私的レベルで
行うべきと思います。

『ワンタイムパスワード（使い捨てパスワード）について』

インターネットバンキングや携帯電話による取引へのセキュリティー対策として新たなセキュリティー方式の採用が公表されました。今回kのトピックスとしてとりあげました。

【はじめに】
　個人情報保護法の成立、（通称）個人預金保護法の施行により、金融機関において各種のセキュリティー対策が具体的に実施されています。
　先日、全銀協が公表した数字によると、Ｈ１７．１０月－１２月までの３ヶ月間で、盗難通帳６１件６６百万円、偽造キャッシュカード１４５件２３５百万円、盗難キッシュカード１３３２件８７７百万円、合計で１１億７８百万円の被害が発生しているとのことです。

　このような事故防止対策に関しては、ＡＴＭの引出し金額を小額化する、振込金額の小額化、更には、キャッシュカードを磁気ストライプ方式からＩＣカード方式への移行、本人確認手段として生体認証方式の導入等と各種のセキュリティー対策が実施されています。

一方、インターネットを利用した銀行取引においても、フィツシングや成りすまし等の事故が発生しています。今のところ、数字は、公表されてはいませんが、相当な金額の事故が発生していることを予感させます。

このような状況下では、ＡＴＭ取引だけでなく、インターネットバンキングの取引に関してもセキュリティー強化対策の重要性が注視されてきました。

　インターネット・バンキングでは、スパイウェアによりパスワードを盗み取られ、預金口座から身に覚えのない送金が行われるなどの犯罪が発生しており、今後、その手口や手法は巧妙かつ高度になる可能性があります。

銀行各行は、かねてより利用者に各種のセキュリティー対策を提供するとともに、金融犯罪に対するセキュリティの啓蒙にも積極的に取り組んでいます。しかしながら、いくつものセキュリティー対策を重ねても、犯罪事故は発生しています。攻撃する側と守る側との知恵比べが今後とも続くことになるでしょう。

ところで、今年になってから、三井住友銀行、ジャパネット銀行が、個人向けのインターネットバンキングサービスに、新たなセキュリティー対策を公表しました。更に、ＮＴＴデータからも　携帯電話に組み込む新たなセキュリティー対策システムが公表されました。

これらに利用されている技術が、「使い捨てパスワード」とも言われる「ワンタイムパスワード」によるセキュリティーシステムです。今回はこのセキュリティー技術を取り上げることにしました。

【背　景】

　近年、インターネットカフェに仕込まれた、キーロガー（キーボードからの入力を監視、記録するスパイウェア）によってパスワードが解読され不正出金された事件や、スパイウェアの組み込まれたCD-ROMが偽装されて郵送され、このCD-ROMからソフトをパソコンにインストールしてしまったために不正に高額の資金が送金されてしまった事件、さらにATMに設置されたCCDカメラによる盗撮によって口座番号と暗証番号が盗まれ、偽造キャッシュカードにより預金が不正に出金された事件等、世間を揺るがす事件が次々と発生しています。

わが国の銀行業界においてもお客様のセキュリティーに対する不安が高まってきています。ＡＴＭ取引に関するセキュリティー対策の強化に加えて、インンターネット・バンキングに対する、なりすまし、詐欺等のへのセキュリティー対策の強化のための監視ソフトを導入するなど、銀行業界はセキュリティ対策の強化に頭を悩ませています。

こうしたインターネットバンキングのセキュリティー不安の解消の一手段として、新方式の「ワンタイムパスワード」が注目されています。指紋認証や静脈認証のような生体認証も対策手段の一つですが、導入コストが高く、インターネットバンキング用に利用したくても、認証用の装置をパソコンに接続する必要がありコスト面から利用できないという問題があります。その点、今回ご紹介する新方式の「ワンタイムパスワード」は、ATMでもインターネットでも活用することが可能なマルチチャネルに応用可能なシステムとして注目されています。

【現状のワンタイムパスワードについて】
　　
現状のインターネットバンキングシステムでも「ワンタイムパスワード」という言葉が使われていますが、「新方式」は、これまでの方式とは技術的に異なる方式です。

ところで、インターネットバンキングで取引を行う場合には、ログイン時や重要な取引を実行する場合には、「暗証番号」の入力により、セキュリティーを確保しています。インターネットバンキングを開始する場合には、まず取引銀行へのログインが必要です。ログイン時に、「ＩＤ番号」と「暗証番号」を入力します。そして、具体的な取引が開始されます。新規の振り込み取引や新規の振込先登録等の【重要】取引には、予め登録された「二次暗証」を必要とするシステムが採用されています。この「二次暗証」も初期のインターネットバンキングシステムでは、固定的な暗証を利用する方式でしたが、「暗証」が盗聴される危険性を避けるためにランダム性の要素を加味した「ワンタイムパスワード」（現行方式）が利用されています。
現行方式の「ワンタイムパスワード」は、２桁の数字のマトリックス表を印刷したプラスティックカードを配布しこのカード上の数字を利用して、行と列をランダムに指定して、四桁のパスワード入力させる方式や、何桁かの暗証番号の桁数をいくつかランダムにその都度要求し、入力させる方式等暗証番号の入力をランダム化させる方式が採用されてきています。

しかし、この方式でも複数回の取引が盗聴され、「暗証」が盗まれる事件も発生しています。そこで、お客様にスタート時のログイン段階の暗証番号の入力にキイーボードを利用しない「ソフトキーイン方式」を採用したり、暗証番号を常時変更するように勧奨する警告メッセージが表示されるようになってきました。しかしながら、現実問題として、暗証番号をいろいろと変更すると変更した暗証番号を忘れてしまい、混乱を起こすことになり、実際には暗証番号を常時変更することは容易ではありません。これらの問題を解決する方式として登場したのが、「使い捨てパスワード」と通称される新方式の「ワンタイムパスワード」技術です。

【新方式のワンタイムパスワード技術】

　今回ご紹介する「新方式」の使い捨て方式の「ワンタイムパスワード」技術は、暗証番号が常に変化する方式で、６０秒ごとに数字が変化するランダム発生関数を利用することによりセキュリティーを強化する方式です。

　この方式の具体的な仕組みは、予めお客様にランダム発生するキイーホルダータイプの「トークン」を配布します。このトークンに表示される乱数と同期する認証サーバーシステムをセンター側に設置しておきます。そして、ログオン時に、「ＩＤ番号」と「暗証番号」に加えて、「６０秒ごとにランダムに発生する乱数」を入力します。

この３つの組み合わせをセンター側の認証サーバーシステムでチェックします。正当な入力であるということが確認されて始めてログインが可能となります。
この方式では、入り口段階である「ログイン」過程で不正取引を排除することが可能になりセキュリティーの強化につながります。

また、ログイン後の【重要】取引の認証にもこの「ワンタイムパスワード」の入力を要求することにより安全性を向上させることも可能になります。

この使い捨て方式の「ワンタイムパスワード」技術は、本人認証を行う都度「有効なパスワード」が変化するので、第三者が例え盗聴したとしても、将来のパスワードを推測することが不可能な仕組みになっています。

今回のこの技術をインターネットバンキングに採用するというアナウンスが、三井住友銀行、ジャパンネット銀行の両行からありました。この両行のシステムには、RSA SecurIDという技術が利用されており、６０秒に1回自動で数字列が液晶画面に表示される銀行のロゴ入りのトークンを利用しています。このトークンに表示された数字をパスワードとして入力することで認証を行う方式です。
この方式を利用すれば、成りすましサーバーへのログインを不可能にすることも可能であり、このトークンを持たない人間にはログインができないことになります。「ＩＤ番号」「暗証番号」「６０秒ごとに変化するワンタイムパスワード」の三種類が一致しないとログインができないということであり、セキュリティー対策上の強化が可能になります。

このトークンの表示する数字は６０秒後には変化し、無効になるため、「使い捨てパスワード」とも通称されています。

この技術を利用することにより、Web上の脅威である盗聴、キーロガー、スパイウェア等に対して非常に強い認証システムを構築することが可能となります。また、表示された数字を入力するだけの簡単な操作のため、幅広いユーザーに対応することが可能です。

このRSA SecurIDの技術は、外資系や大手の社員向けインターネットシステム利用時のログイン時や国際ＣＭＳ等に広く利用されている既存技術であり新規開発技術ではなく過去の実績を積み重ねてきた信頼性のある方式です。　全米で80%、国内でも70%のシェアを占めるワンタイムパスワードのデファクトスタンダードとして安定した実績のある技術ということです。この方式をコンシューマービジネス分野に利用しようというのが今回の両行のセキュリティー強化施策ということになります

【注】RSAおよびSecurIDは、RSA Security Inc.の登録商標です。
　RSA SecurIDは、1分間に1回変わる6桁の数字をパスワードとして使うため、パスワード盗難による不正行為に対し、犯罪への高い防止効果があります。また、利用者は定期的にパスワードを変更する煩わしさもありません。簡単に使えて利用者を保護できる点が評価され、欧米のインターネット・バンキングやオンライン・トレードでの本人認証に採用されています。RSA SecurIDは、振動や落下による衝撃、温湿度､防水、静電気など、日常生活で想定される範囲の耐久性にも優れた堅牢な製品とのことです。
　

【セキュリティー対策へのコスト負担に関して】

セキュリティーシステムには、当然のことながらセキュリティー維持のためのコストが発生します。センターシステムのサーバーの導入・運用コスト、トークンの発行のための事務運営費、郵送費用、それにトークン自体の単体コストだけでも５年間の電池寿命があり、一万円前後のコストが必要となります。これらのコスト負担は、システム提供者側が負担するのが当然ですが、セキュリティーには受益者負担の観点から一部のコストを受益者にも負担して貰うという考えも必要ということになります。そのために、一部の費用を利用手数料としてお客様に負担していただく方法やある一定額の預金残高以上の場合に手数料を免除する方法等のマーケティング戦略上の考え方も課題となります。

しかしながら、銀行は、銀行自身事務省力化によるコストダウン、お客様への利便性の提供手段としてインターネットバンキングを積極的にセールスしてきているわけですから、システムの安全性、信頼性の強化は当然の義務ということであり、安全性に問題のあるシステムの提供は許されるはずがありません。また、善意の第三者に対する事故が発生した場合には、損失額を補償するということは、預金者保護法の視点からの当然のことです。
セキュリティー対策に、投資を行うことは銀行の社会的責任を果たすための当然の投資と考えるべき課題なのです。
　

【国内外での利用事例】

このＲＳＡ社の「ワンタイムパスワード」技術は、海外での利用事例は、２０，０００社以上の企業で採用されており、社内情報システムに対する不正アクセスを防御するシステムとして利用されています。一般的には、社員が社内のＰＣからのアクセスするための「ログインシステム」に利用したり、外部のネットワークからアクセスする場合の「ログオン」時等に普及しています。また、国内の金融機関でも法人向けのＣＭＳ（キャッシュマネジメントシステム）に活用されています。

このように、従来は、法人向けサービスや社員向けのサービスとして利用する事例が多かったのですが、最近では、米国のＥトレード証券がコンシューマー向けのサービスに利用し、セキュリティー面の安全性を評価するユーザーの利用者が増えたり、他社のサービスから移行等による取引拡大に寄与しているという報告もあります。
また、日本での証券業界の導入事例としては、日興コーディアル証券が採用しています。今回の三井住友銀行、ジャパンネット銀行がコンシューマー向けのインターネットビジネス分野に採用したことにより、他の金融機関でも採用の動きが活発化するものと思われます。

【携帯電話にも組み込みが可能に】

現在、ワンタイムパスワード活用の主流である企業内利用の場合、キーホルダータイプの小型の製品（ハードトークン型）が大多数です。しかし、コンシューマーをターゲットとし、数十万、数百万といった多数の利用者へトークンを配布する場合、運用体制の整備、管理の負荷、紛失への対応等が普及拡大の課題となってきます。そこで、この問題を解決する方法として、携帯電話に組み込む方式がＮＴＴデータから公表されました。

国内で約9,000万台普及している携帯電話に「ワンタイムパスワード機能」を持たせることで、上記の課題を克服し、コンシューマー分野でのハードルを下げることが可能になります。 今回、RSAセキュリティとNTTデータが共同で携帯電話に格納できる「ソフトトークン」を開発し、コンシューマー分野に広く普及させていくために両社で協業していくことをアナウンスしました。これにより、更に、「ワンタイムパスワード」の普及が加速されるものと思料されます
また、コンシューマーへの配布を考えた際、サービス毎に認証システムを構築、運用することや、複数のサービスを利用するユーザーがそれぞれのサービス専用のトークンを持つことは現実的ではないため、共同利用型(ASP)の認証センターの構築および運営についても両社共同で検討を実施していく計画とのことです。

これらのサービスもセキュリティー対策強化の社会インフラ作りの上で、大いに期待されるものです。

【まとめ】

バンキングシステムのセキュリティー対策は、個人預金保護法の精神である、「お客様の大切な預金を安全にお預かりする」という視点から、常に社会の情勢を先取りして、先行投資していくことが【重要】です。
金融機関を攻撃の対象とする、犯罪者は各種の先端技術を駆使して、攻撃してきます。この攻撃に対応できる防御システムを研究し、具体的な対応策を構築していくことは当然のことです。

今回の「使い捨てのワンタイムパスワード」もインターネットバンキングの強化策の一環として歓迎すべき技術であるということです。

【参考資料：各種認証方式の概要】

■固定パスワード

ユーザーI D とパスワード（英数字や記号）による認証方式で、現在最も普及している方式であるが、スパイウェア等により盗聴等の脅威が懸念されている。

■ワンタイム・パスワード

（ハードウェア・トークン）
本人が定めた暗証番号と60 秒ごとに表示が変わる1 回限りのパスワードによる認証方式の併用により、固定パスワード方式の弱点をカバーすることが可能となる。
カード型、キーホルダー型などの持ち運び可能なハードウェアタイプとして提供されている。

■ワンタイム・パスワード（PC、PDA等）

（ソフトウェア・トークン）
ワンタイム・パスワードによる認証方式をPC 、PDA （携帯情報端末）上のソフトウェアとして実現。
特別な追加のハードが不要で、手持ちのハードにソフトを導入するだけでよく、運用の簡素化等、運用全体のコストを低減可能なシステムとして注目される。

■ワンタイム・パスワード（携帯電話）

ワンタイム・パスワードによる認証方式を携帯電話上でソフトウェアとして提供。
ＮＴＴデータから提供される予定となっている。

■デジタル証明書

「秘密鍵」と「公開鍵」の2 つの鍵を用いる公開鍵暗号方式によって、本人を認証する方式。
デジタル証明書はユーザーが使用するPC 上で保管されている。
特定のＰＣでしか利用することができない。

■デジタル証明書＋メモリ・デバイス

「秘密鍵」と「公開鍵」の2 つの鍵を用いる公開鍵暗号方式によって、本人を認証する方式。
デジタル証明書の保護と持ち運びを可能にするためメモリ・デバイスを使用することにより、上記の不便さを解消する方式。

■バイオメトリクス

人間の生体的特徴や動作を取り出して数値化することで本人を認証する方式。
指紋認証、血流認証、掌形認証、虹彩認証、顔貌認証、声紋認証のほか、人間の動作を伴うサイン認証などがある。
本人しか利用することができないが、経年変化、傷害等により、認証の再登録が必要になる場合がある。

（終わり）

■（続）インターネットバンクのセキュリティー対策

■前回は、インターネットバンキングのセキュリティー対策について考察しました。
銀行も対応策として具体的な対策を次々と発表しています。
インターネットバンキングを実際ご利用の方は、ご存知と思いますが、お取引銀行からセキュリティー強化対策の通知されていると思います。

今回は、新生銀行の具体的な対応策の事例をベースに対策の概要をご紹介したいと思います。
皆さんの取引銀行のインターネットバンキングサービスのセキュリティー対策と比較してみてください。

【新生銀行】のケースを中心事例として、【注】は著者がコメントとして追加したものです。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

【新生銀行のインターネットバンキングの具体的なセキュリティー対策】

● 128bit SSLの暗号化通信方式の採用

インターネットで送受信される情報は伝送中に盗聴されることを想定して、保護のため暗号化され送受信されます。この暗号化通信方式には現時点でもっとも解読が困難といわれている128bit SSLが採用されています。

【注】※SSLとは・・・Secure Sockets Layerの略。米Netscape社によって提唱されたプロトコル（通信の方式）。通信の暗号化と認証を行なうことによって、第三者によるデータの盗用や改竄を防ぎます。
現在、同社のNetscape Navigatorや米Microsoft社のInternet Explorerに実装されています。


● 複数の確認コードによるご本人確認

新生パワーダイレクトでは、３桁の店番号と７桁の口座番号を続けた１０桁の番号、４桁の暗証番号、パワーダイレクトパスワードの「３つの確認コード」により、お客さまご本人であることを確認しております。

【注】新生銀行では、口座番号と２つの暗証番号を利用していますが、口座番号は一般には入手しやい番号です。ＡＴＭを利用したメモ帳がＡＴＭコーナーに落ちている光景をご覧になることが多いかと思います。
また、振込口座等を相手に知らせる場合等で比較的目に付きやすい番号です。少々問題ありと思います。
従って、一般的にはインターネットバンキング利用契約時に特別な契約者番号を発行し、これを利用します。

●パワーダイレクトパスワードの変更は、いつでも新生パワーダイレクトバンキング画面の「お客さまサポート」の「パスワード変更」にてお手続きできます。セキュリティをより確実にするため定期的にご変更ください。

【注】定期的に変更しなさいという警告は、最近のインターネットバンキングのログイン時の警告ですが、前回も述べたように、変更するとどれがどの暗証であったか混乱してしまいます。現実問題として難しいと実感しています。理論と現実の相違を感じる問題ですね。

● セキュリティキーボードによる暗証番号・パスワード入力

セキュリティーキーボードは、画面上のキーボードをマウスでクリックし、パスワード等の入力をしていくもので、キーボードの操作履歴が残らないため、通常のキーボードより安全な入力方法です。特にインターネットカフェ等の不特定多数の方が使用するパソコン等をご利用の場合は、セキュリティーキーボードをお使いになることを強くお勧めいたします。
（※安全な取引のため、基本的にはそのようなパソコン等でのご利用はお控えください。）

【注】このセキュリティーキーボードは、別称、ソフトウエァキーボード、ソフトキーボードとも呼ばれています。
実際には、YahooカフェのＰＣにスパイウェアが組み込まれており、実害が発生した事例が発生しています。

【注】パスワードに関しては、固定のパスワードを入れる方法と入力のたびに変化する方式の二種類があります。
☆三井住友銀行の例では、第二暗証番号の入力方法として、４Ｘ４の１６種類の２桁の数字の表示のあるカードを配布し、この縦横の行・列をランダムに表示し、４桁の数字を暗証番号入力する方式を採用しています。

☆みずほ銀行では、第二暗証は、従来は、６桁の固定入力方式でしたが、６桁のうちの４桁をランダムに入力させる方式に変更になっています。

【注】以上のように、暗証番号も固定方式からランダム方式に変更になってはいるのですが、実際には事故が発生しています。犯罪者の悪知恵は一般には想像できない方法を活用しているようです。

【注】先月、ＵＦＪ銀行のＡＴＭに小型カメラがセットされ、ＡＴＭでの入力データを撮影するという事件が発覚しましたが、これなどもどうしてこんな発想になるのか想定外の事件でした。

● 各種お取引限度額の設定

[振込・振替に上限金額を設定いただけます]
   
2005年12月1日から、１日あたりの振込および振替の合計上限金額が一律50万円に設定されております。当初の設定は一律50万円ですが、お客さまのご要望により上限金額を変更いただくことも可能です。
１．振込・振替限度額が５０万円といたしました。

2005年12月1日から、１日あたりの振込および振替の合計上限金額を一律５０万円に設定いたしました。当初の設定は一律５０万円ですが、上限金額を変更いただくことも可能です。

【注】他行のインターネットバンキングでも同様ですが、取り扱い金額に制限する方式が定着化するようです。事故が発生した場合でも被害金額を小額に抑えるための方法ですが、これを越える金額を振り込む場合には、銀行の店頭に並ばなければならず、不便になりますね。
セキュリティー強化の代替として、不便を我慢せざるを得ないということでしょう。
 
２．「パワーダイレクトパスワード」のセキュリティ強化。

2005年12月1日からパワーダイレクトパスワードについて、90日ごとに、ログイン時にパスワード変更をおすすめするメッセージが表示されます。セキュリティ強化のため、ぜひ定期的な変更をお願いします。
また、次回のパスワード変更時から、数字ではなく英文字と数字の両方を使ったパスワードの設定が必要となります。

【注】定期的にパスワードを変更することを警告するシステムが一般化しています。
しかし、実際はなかなか難しい問題です。

【注】数字だけのパスワードから英数字に変更により、パスワードの強化には結びついています。


● 各種取引通知メールのご提供

　新生パワーダイレクト内の「お取引通知メール」にご登録いただくと、下記の変更を実施した際に通知メールが発信されます。

１）振込がエラーとなった場合
２）ＡＴＭ出金・J-Debit利用限度額を変更した時
３）パワーダイレクトパスワードを変更した時
４）通知メールアドレスを変更した時 

【注】これにより、見に覚えのない取引が発生した場合気づくのが早くなるという効果を生み出します。

※お客さまへ安全のための新生銀行からのお願い

[ パスワード ]
・ パワーダイレクトパスワードは、誕生日や電話番号など第三者から推測されやすいものは避けてください。
・ パワーダイレクトパスワードと同じ番号を、銀行取引以外の取引で使用しないことをお勧めいたします。
・ パワーダイレクトパスワードは、メモに残したり、パソコンに記憶させたり、電子メール等に記入したりしないでください。 
・ 安全のために、定期的にパワーダイレクトパスワードを変更することをおすすめします。2005年12月1日からは、90日ごとにパスワード変更をおすすめするメッセージが出るようになります。新しいパスワードには英文字と数字を両方混ぜた設定が必要になります。
（パワーダイレクトパスワードは、パワーダイレクトのメインメニュー「お客さまサポート」の「パスワード変更」にて変更できます。） 
・ 当行行員が、暗証番号やパワーダイレクトパスワードを、口頭や電子メールでお伺いしたり、お知らせしたりすることはありません。 
・ 万一、第三者に暗証番号やパワーダイレクトパスワードを知られた恐れがある場合は、すぐに変更していただくか、新生パワーコール（0120-456-007）までご連絡ください。 
・ 海外でインターナショナルキャッシュサービスをご利用の場合は、帰国時に暗証番号を変更されることをお勧めいたします。 
・ 不審なEメール等をお受取になった場合は、お手数ですが新生パワーコール（0120-456-007）までご連絡ください。 

[ ログイン・ログアウト ]
新生パワーダイレクトにログイン（確認コードを入力しログインボタンをクリック）していただきますと、画面に「前回のご利用日時」が表示されます。毎回ログイン（バンキングのご利用）の際にはご確認の上、不審な点がございましたら至急、新生パワーコール（0120-456-007）までご連絡ください。また、新生パワーダイレクトではログインしたまま一定時間お客さまからの入力がない場合には、自動的にログアウト（切断）をする仕組みになっていますが、離席する場合などは必ずログアウトを選択してください。

[ ご利用パソコン ]
安全なお取引のため、インターネットカフェ等の不特定多数の方が利用されるパソコンでの、新生パワーダイレクトのご利用はお控えください。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

以上が新生銀行のインターネットバンキングのセキュリティー強化対策の具体事例です。

読者のみなさまも、ご自身の銀行でインターネットバンキングサービスをご利用のことと思います。
どんなセキュリティー対策がとられているのか、一度じっくり検証してみることをお奨めいたします。

【編集後記】

あっという間に、１２月になってしまいました。今年も残り一ヶ月となりました。

今年もいろんなことがありました。

特に、銀行のセキュリティー対策に関しての強化策が話題になった年だったように思います。

今年も残り少なくなってきましたが、積み残した仕事をさっさと片付けて、新年を迎えたいものです。