顧客口座への不正アクセスで資産9,864万円が流出、再発防止策とは
#39 放送のセキュラジから抜粋したものです。
顧客の証券口座で不正に取引と出金までされてしまったようです。その顛末が説明させれていますので一つ一つ見ていきましょう。記事には「本来、同社からの出金は顧客本人名義の出金先銀行口座のみに限定されているが、今回の事案では、第三者が偽造した本人確認書類を利用するなどして当該銀行口座そのものを不正に開設したことが判明」とあります。まず、攻撃者は出金先の口座を用意していたようです。具体的に出金先銀行は「ゆうちょ銀行5件、三菱UFJ銀行1件」とあります。この2行では口座を開く際の本人確認が、結果的には不十分であったということになります。また、記事には「同社システムからの「ユーザーネーム」、「ログインパスワード」、「取引パスワード」不正取得は確認されていない。」とありますので、顧客口座にログインするための情報は、リスト型攻撃などシステム外から取得された可能性が高いということになります。
再発防止策の詳細
(1) 監視
・不正アクセスに対する24時間モニタリング体制のさらなる強化。
・不正アクセス検知システムWAFによる新たな攻撃手法への対応。
・不審なIPアドレスからのアクセス排除
が挙げられています。24時間モニタリングすることで、攻撃の予兆も速やかに検知することができます。WAFで新たな攻撃手法へ対応とありますので、WEBアプリケーションに対するサイバー攻撃についてはもう一歩踏み込んだ監視をしていくようです。
(2) 認証
・一定時間に一度しか利用できないワンタイムパスワードを利用したログイン認証の導入。
・普段と異なる環境からのログインを検知して顧客に通知し、アクセス遮断を行う仕組みの導入。
・顧客の手元にあるスマートフォンなど特定端末からのアクセスのみを許可する機能の導入。
・同社WEBサイトへの接続に関わる暗号化通信のさらなる高度化。
が挙げられています。認証についてはワンタイム制、アノマリー検知、多要素認証など相当数の多層防御を採用していることがわかります。一つのセキュリティが突破されても別のセキュリティで防御していくことが狙いです。
(3) 本人確認
出金先銀行口座登録における本人確認の強化が挙げられています。
現在は郵送による手続きのみ受け付けているようで、ある意味一番厳しい対応を取っている状態です。ここからどこまで緩和されるかが注目されます。
その他としてもいくつか再発防止策が挙げられていますが、一点でも突破されてしまうとセキュリティは0点になってしまいますので、サーバーやクライアントから業務面まであらゆる切り口でセキュリティの強化を図っていきたいという姿勢が感じられます。
おわりに
私の祖母の話ですが、今回の件について聞いてみると「銀行口座はインターネットを使用してないから、わたしは関係ないの」と。(そんなわけあるかい!)高齢の方にもわかりやすく正しく伝わる仕組みづくりを考えていきたいです。