コラム

 公開日: 2015-03-13  最終更新日: 2016-06-02

不正送金の手口から見た注意点-インターネットバンキングの被害防止

前回のコラムで不正送金の状況と日常での対策を紹介しました。その中で、不正送金の手口としては、以下の2つがが代表的な手口と申し上げました。
・フィッシング
・コンピュータウィルス
今回はその不正送金の手口の流れと、そのフロー上における注意点を確認します。

フィッシングの手口と防止に向けた注意点

フィッシングとは、例えば取引している金融機関を装ったメールを送信し、偽のインターネットバンキング画面へ誘導することで、IDやパスワードを入力させ、認証情報を盗む手口です。その流れをイメージ化したのが、以下になります。
フィッシングの手口

①攻撃者が攻撃対象とする金融機関等のユーザーに対して偽のメールを送信
②ユーザーは偽メールを受信し、本文に記載されたリンク先をクリックすると、ダミーサイトにアクセスする。ユーザーは正規の金融機関サイトだと思い込み、ID、パスワード等の認証に必要な情報を入力する。
③ダミーサイトは入力されたIDやパスワード等を自動で攻撃者に送信する。
④攻撃者は入手した情報で金融機関のサイトにログインし、自分の口座に送金処理を行う。

この流れの中で、以下の2つのポイントで確認作業を行うことによって、不正送金を防止することが可能となります。

ポイント1:受信した電子メールの確認
・受信したメールのメールアドレスを表示し、ドメイン(@以下の部分)が利用している金融機関のものと一致すること。
・本文に記載されているリンク先が、金融機関サイトのアドレス(先頭のwww.(金融機関固有).co.jpの部分)と一致すること。(表示されている文言ではなく、その内部に埋め込まれたリンク先)

ポイント2:メールのアドレスをクリックして表示されたホームページ
・表示されたホームページのURLが金融機関サイトのものであること。
・表示されたホームページがいつもと同じ内容であること。

また、ポイント2については、通常使用するブラウザのブックマークに該当する金融機関のログイン画面をブックマークしている場合は、メールのリンク先ではなく、ブックマークからアクセスすれば、ダミーサイトにアクセスすることはありません。

コンピュータウィルスの手口と防止に向けた注意点

コンピュータウィルスによる手口は、インターネットバンキングを行う担当者のPCをウィルスに感染させ、金融機関のサイトにアクセスするとウィルスがこれを検知し、IDやパスワードを入力するポップアップ画面を表示することで、入力された認証情報を外部に送信することで盗み出します。手口の流れは以下のイメージになります。
コンピュータウィルスの手口

①何らかの理由でPCがウィルスに感染する。
②ウィルス感染したPCから、金融機関のサイトにアクセスする。
③金融機関のサイトにアクセスしたことをウィルスが検知し、ID、パスワード、その他の認証に使用される情報を入力するポップアップ画面を表示する。
④③の画面に入力した内容が攻撃者に送信される。
⑤攻撃者は入手した情報で金融機関のサイトにログインし、自分の口座に送金処理を行う。

この流れの中では、以下のポイントで確認作業を行うことによって、不正送金を防止することが可能となります。

ポイント1:金融機関のサイトにアクセスした際の動作
・通常とは異なる画面やポップアップ画面が出力された場合、操作をやめ、ウィルスチェックを行なう、金融機関に確認する、等の対応を行う。
・特にID、パスワードに追加して様々な情報の入力が促される場合は、偽画面だと考えた方が良い。

また、最近ではMITB(Man In The Browser)と呼ばれる攻撃も報告されています。これもコンピュータウィルスによる攻撃なのですが、上記で説明したのと大きく異なるのは、MITB攻撃は金融機関のサイトに通常のログインをした後にセッションを乗っ取り、バックグラウンドで不正な口座に送金してしまいます。これまではワンタイムパスワードが不正送金防止に有効とされてきましたが、MITB攻撃によって、ワンタイムパスワードさえもくぐり抜けてしまいます。

最後に

不正送金についても一般のセキュリティ対策と同様、攻め側と守る側のイタチごっこになるので、決定的な防止策はありません。先のコラムでも申しあげた通り、ウィルスチェックやセキュリティパッチ適用等、日常の積み重ねを怠らないことが一番の防止策であると考えられます。
また、この内容はプライベートでインターネットバンキングのサービスを使用する方々にも当てはまるので、該当する方々は併せてご確認ください。

皆さんの会社で上記の内容を含め、セキュリティ対策が充分かどうか確認したいと考えていれば、ぜひご相談してください。弊社ではこうした情報セキュリティに関するコンサルティングを実施しております。ご興味があればお気軽にご相談ください。
なお、弊社の関連するサービスの紹介はこちらです。併せてご確認ください。

お問い合わせフォームは、こちらです。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

5

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

「ポケモンGO」の偽アプリや偽サイトに注意!

海外で先行配信されていたスマートフォン向けゲームアプリ「ポケモンGO」が日本で配信開始され、社会現象となって...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ