BACK
TOP
佐々木俊尚 Toshinao Sasaki
「スパイウェア預金引き出し事件」で露呈したネットバンキングの恐怖
インターネットで転職支援サイトを運営するAさん(43歳)のところに、シティバンクから「振り込み完了」の自動応答メールが届いたのは、昨年9月18日の昼過ぎのことだった。シティバンクは、Aさんがメインで利用している銀行だ。しかし、その振り込みには見覚えがない。「いったい何だろう?」とネットバンキングのサイトにアクセスしてみると、何と1640万円あったはずの預金がすべてなくなっている! 1640万円は何度かに分け、他行の聞いたこともない名義の口座宛てに送金されているようだった。残高は3000円しか残っていなかった。全財産が消滅してしまったのだ。茫然自失したAさんだが、気を取り直し、あわてて銀行に連絡を取った。
「わたしの口座からカネが勝手に出金されているんです!」
「とりあえず暗証番号を変えておきましょう。弊行の金融犯罪対策室から折り返し電話を差し上げます」
同対策室の担当者からは、すぐに電話がかかってきた。
「パソコンを誰かに貸したりしてませんか?」
「そんなことは絶対にしてません!」
「まるで悪夢のような日々でした」
これがこの3月、ネットバンキング業界を震撼させた「シティバンク不正アクセス事件」の恐るべき幕開けだった。
Aさんは事件を振り返り、こう語る。
「まさか自分がこんな事件に巻き込まれるなんて……。寝耳に水という言葉以外には何も思いつきません。悪夢のような日々でした」
この時点ではまったく気づいていなかったが、実はAさんは2年ほど前に一度だけ東京・渋谷のインターネットカフェでシティバンクのインターネットバンキングにアクセスしたことがあった。まさかそのときの記録が悪用されていようとは、Aさんは夢にも思わなかったのだ。
事件発覚から半年を経た今年3月、警視庁ハイテク犯罪対策総合センターは川崎市に住む元大手金融機関系シンクタンク社員、羽片光容疑者(35歳)ら2人を不正アクセス禁止法違反、電子計算機使用詐欺、窃盗の容疑で逮捕した。
羽片容疑者らの手口は単純かつ巧妙だった。渋谷などのインターネットカフェ十数店舗にキーロガー(Key Logger)と呼ばれるプログラムをこっそりインストールしておく。しばらく経ってから店舗にもう一度出向いて、仕掛けたパソコンに保存されているログを確認し、自分のフリーメールアドレス宛てにログを送信。そのメールを別のインターネットカフェで受信し、ログを分析したうえで、ネットカフェ利用者のネットバンキング用IDとパスワードを抽出。その場でネットバンキングのサイトにアクセスし、多額の現金を匿名口座あてに送金させる――という手口だった。この方法なら自宅や会社のパソコンをいっさい介在させないから、不正アクセスの経路をたどられる心配はないわけだ。
キーロガーというのは、キーボードからの入力を逐一記録してくれるスパイウェアの一種だ。ごくシンプルなプログラムだから、こっそりインストールしてあってもばれにくい。検索エンジンで調べれば、無数に関連サイトを見つけることができるし、ダウンロードもできる。Windows版だけでなく、Macintosh版やLinux版などもある。フリーウェアのキーロガーなど、ネット上にいくらでも転がっているのだ。羽片容疑者は警察の聴取に「本屋でパソコン雑誌を立ち読みしていて、キーロガーを使った手口を思いついた」と供述しているという。
ウイルス化したキーロガーも出現?
ところで極悪な不正アクセスツールとしてキーロガーを見てみると、“欠点”がひとつあることに気づかされる。それは「相手のパソコンに手動でインストールせねばならず、ログの確認もパソコンを実際に操作しなければならない」という点だ。しかしこれをすべてリモートで行うプログラムも、実は登場してきている。それは何と、あの米連邦捜査局(FBI)が開発しているというのだ。その名を「マジックランタン」という。
一昨年10月、米国のある地方裁判所で、ニコデモ・スカルフォという名前のマフィア幹部に対する刑事裁判で開かれた。この中でマジックランタンの存在は初めて公にされた。公判記録によると、スカルフォ容疑者は公開鍵方式の暗号ソフトであるPGPを使ってメールをやりとりしていたため、捜査当局はインターネットのトラフィックまでをも傍受していたのにもかかわらず、そのやりとりの内容をつかむことができなかった。そのためマジックランタンの投入を決定。このときはまだ開発途中だったためにネット経由での侵入は行われず、かわりにスカルフォ容疑者の自宅に実際に侵入し、フロッピーディスクを使ってこっそりインストールする方法が採られた。そして何も知らないスカルフォ容疑者は自宅に戻り、送られてきた暗号メールを読むためにパスフレーズをタイプ。このキーボード入力の記録がマジックランタンによって記録され、インターネット経由でFBIへのサーバにこっそり転送された。これによってFBIはPGPのパスフレーズを入手し、スカルフォ容疑者のメールのやりとりの全文を入手。逮捕にこぎ着けることができたのだという。
完成版のマジックランタンは、コンピュータウイルスのようにターゲットのパソコンに侵入させることができる。というより、それはコンピュータウイルスそのものと言えるだろう。米MSNBCなどの報道によれば、マジックランタンはごく一般的な脆弱性を利用し、友人や家族からのメールに偽装して感染させることができるというのだ。
国家機関がこうしたハッカーツールを開発して利用することの是非は置いておくとしても、もしこの「マジックランタン」が民間に流出し、悪用されたら――。あるいは、同じような性能を持つプログラムが悪意のある何者かによって独自開発されたら、どうなるだろう。インターネットカフェを使わなくても、自宅のパソコンでネットバンキングやクレジットカードを使ったオンラインショッピングを利用しているだけで、何者かにカード番号やID、パスワードを盗まれてしまう危険が生じてしまうのだ。恐ろしい話である。
しかし対策もいくつかある
セキュリティアナリストの古川泰宏氏によると、キーロガー対策には次のようなものがある。
@キーロガー検出ソフトの導入
一般的なウイルス対策ソフトでも一部のキーロガーを検知できるが、完全ではなく、きちんとした対策を採るにはホスト型の侵入検知ソフト(IDS)が必要。フリーウェアでは、Spybot-S&D(http://spybot.safer-networking.de/)がお勧めだ。
Aキーロガー対策キーボードの使用
タイピングの信号を暗号化させてパソコンに送ることができる専用キーボードを使えば、キーロガーで記録されても内容はわからない。
Bユーザーが使用するたびに初期状態に戻してくれるパソコンを使う
Symantec Ghostのように、ユーザーが勝手にソフトをインストールしても、次のユーザーが使う前にすべての初期状態に戻してくれるソフトがある。こうしたソフトを組み込んだパソコンを設置しているネットカフェなら、キーロガーの心配はない。空港などにあるワンコイン型のネット端末がこうした仕組みを取っているほか、英国のネットカフェではこの手のソフトが使われていることが多いという。
このほかに、ワンタイムパスワードや乱数表を使っているネットバンキングを利用する、という方法もある。今回被害にあったシティバンクは、IDがわりの口座番号と暗証番号だけでログインすることができた。これはセキュリティとしてはかなり甘い部類に入る。しかし三井住友銀行やジャパンネット銀行などでは、顧客ひとりひとりに異なる数字が印刷されている「乱数表」を手渡し、ログインの際はこの乱数表を見ながら、毎回異なる位置の数字を何回かに分けて入力しなければいけない。この方式なら、キーロガーでタイピングが記録されていても、次回に同じ乱数は使われないから不正アクセスされる心配は少ないわけだ。
どの銀行がどのようなセキュリティ対策を講じているか、使う側がきちんとチェックして自己防衛を行うことが求められているということだろう。
被害者は誰? 露呈した問題
おまけに今回の事件では、銀行への不正アクセスのような犯罪での思いもよらない「法の網の目」も露呈した。
それは、法的な被害者は誰かという問題だ。被害者のAさんに対して、警視庁は一貫して「不正アクセス防止法と電子計算機使用詐欺の法的な被害者は銀行になる。銀行から被害届が出ないと捜査できない」という立場だった。しかしシティバンク側はAさんに「当方に重大なセキュリティー上の欠陥がない限り、被害金は補償されない。あなたが加害者から取り戻してもらうことになる」「被害届は警察に事情を説明したうえで、必要があれば出すことになる」と説明したというのだ。
Aさんは「実質的な被害者は私なのに、被害届も出せず、お金も戻ってこない。ひどい矛盾というか、法の抜け穴に陥ってしまったようでした」と今も憤る。容疑者が逮捕され、無事現金は戻ってきたというが、こうした事件が再度起きた場合、同じことが繰り返される可能性は高い。
この問題に関しては法曹界からも批判が出ているが、法律を改正しない限り抜本的な解決は難しいということなのだろう。インターネットユーザーはいよいよきちんと自己防衛をしておかなければならないということなのだ。