security, ipa

IPA　情報セキュリティ　12月の呼びかけ

「 ネット銀行を狙った不正なポップアップに注意！ 」
～“乱数表”や“合言葉”の正しい使われ方を知り、自己防衛を～

情報処理推進機構：情報セキュリティ：今月の呼びかけ

12月も中旬になり、今年も押し迫ってきましたが、ＩＰＡさんの今月の呼びかけについて書いてませんでしたので、書いておこうと思います。
2012.12.3に掲載されていますが、今月の呼びかけは、インターネットバンキングを利用する際の注意です。

従来、こういった金融機関のサービスを利用する方を騙し、情報を搾取する行為（フィッシング詐欺）は、見た目はそっくりでも全く別のサイトへ誘導して情報を盗み取るものがほとんどでした。
今回呼びかけで書かれているのは、最近になって発見されたもので、正規のサイトへアクセスした場面で、情報を搾取する画面が出てくるといった点で、従来のものとは全く手口が異なります。
悪意を持って誘引されているわけでは無く、正規のサイトへアクセスした場面でも、被害に遭う可能性があるため、金融機関などを中心に注意を呼びかけられています。

この不正な動作の原因は、金融機関のサイトが問題なのでは無く、利用者側のパソコンにマルウェアが感染していることに原因があります。
IPAさんの方で、実際にそのマルウェアに感染し、実際のサイトにアクセスするという検証を行われたようです。
実際の動作での正規な処理とマルウェアに感染し、偽の表示が出ている実例が掲載されています。

この事例に対する対策ですが、マルウェアが引き起こす不正な動作ですので、対策としてはやはりマルウェアに対する対策を行うことになります。そして、他にも金融機関のサービスならではの、ＩＤとパスワードの認証に追加された認証システムについての対応が考えられます。
ＩＰＡさんの上記ページに対策として次の内容が書かれています。

1. ウィルスに感染しないために
• 使用しているパソコンのOSやアプリケーションなどの脆弱性を解消する
• ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保ちながら使用する
2. インターネットバンキング利用時の注意点
• 乱数表や合言葉などを一度にすべて入力しない
3. 一歩進んだお勧めの対策
• パーソナルファイアウォールを適切に設定して使用する
• ワンタイムパスワードのサービスを利用する

今すぐ取り組めるものがほとんどです。何より大切なのは、対策の項目の後半にも書かれていますが、日ごろから、こうした便利なサービスを利用する際にはリスクをともなうという意識を持つということが重要です。

• 画面がいつもと違う
• 入力の画面遷移がいつものものと違う
• いつも表示されない案内が出てきた

などの気づきが大事です。
そのためには、まず「大事な情報を扱う」、「お金の処理を行う」といった、重要な作業であることを意識することが最も大事です。