丸太SOFT 説明 不正送金問題HEAD-LOCKMENU-MULTI
ネットバンキング不正送金問題
「pkfcx」は運用次第でよりセキュリティを高められます!
「ネットバンキング不正送金被害11.8億円 1〜11月、最悪時の4倍」日本経済新聞 2013/12/12
インターネットバンキング利用者のIDとパスワードが盗まれ、預金が別の口座に不正送金される
被害が今年1〜11月に1125件、約11億8400万円に上ったことが12日、警察庁のまとめで分かった。
被害額は過去最悪の約3億円だった2011年の約4倍。引き出した現金をロシアなど海外にサービス
業者を利用して送金する手口も初確認され、同庁は注意を呼び掛けている。
昨今、インターネットバンキングの不正送金被害が拡大しています。
そこで従来よりも増してそのセキュリティの確保が要請されるところです。
不正送金の手口は年々巧妙化しているようですが、
基本的にはウィルスに感染させられ、
それによって現れる偽装された画面に騙され、
意図せずにIDとパスワード(ワンタイムパスワードすらも)を相手方に渡してしまうことによります。

そのような仕組みですので、
現在のところ、
不正送金被害に遭うのは「ID/パスワード」認証方式をとっているユーザーの場合だけで、
「ID/パスワード+電子証明書」認証方式のユーザーの場合は被害に遭いません。
電子証明書までも奪取してしまうウィルスは今のところないようです。
というか現状の不正送金問題への一つの対処が電子証明書方式と認識されています。
しかし、今後はわかりません。
既にこのようなウィルスも出てきているようです。
これは、いままでのウィルスがバンキングのログイン情報を盗もうとしていたのに対し、
ログインそのものには関知せず、
ログイン後の送金取引だけに着目し、その部分を偽装し不正送金させるもので、
このようなウィルスに侵入された場合、
電子証明書などあってもなくても関係ないことになります。

ただ、攻撃者の立場に立って考えてみた場合、そのような仕組みのウィルスは、
バンキングサイトの送金取引画面の構成が変わった場合、
すぐに矛盾が発生し失敗に終わる他、
残高全額を直ちに不正送金させる、
という要求を満たすには効率がよくないという点がありますので、
今後もやはりログイン情報を奪取する方向が
主流を維持するのではないかと思われます。

そうすると、攻撃者の次の懸案はいかに電子証明書を奪取するか、
ということになってくるかと思われます。
そして今後は、ウィルスによって悪意のスクリプトを知らずのうちに実行させられ、
あるいはそれによって知らずのうちに不正なプログラムをダウンロード実行させられ、
電子証明書すらも騙し取られる可能性は否定できません。
その場合に備えて現状少なくともWindowsでは2種類の防波堤が用意されています。
一つは、電子証明書の秘密鍵が扱われるとき
そのことがわかるようにユーザーに警告の画面がでるように設定することができます。
ユーザーはこの段階で電子証明書の秘密鍵が取扱われることを拒否できますので
それによって秘密鍵の流出を防げます。
この設定は電子証明書の作成時に証明書ごと、正確には鍵ごとに行われ、
一度この設定がなされた証明書は、ウィルスといえどもこの画面を回避することはできません。
正確にはこの画面を回避するためには、
一度はこの画面を出さなくてはならない仕組みになっています。
しかし一部のユーザーはこの警告画面の意味がわからず
そのままここを(OKで)通過してしまうかもしれません。
そのときの最後の防波堤が「秘密鍵エクスポート禁止」の設定です。
その設定がされている場合、上記警告画面も出ずに行為はエラーで終了します。
すなわち、Windowsは一切秘密鍵を外に出そうとしなくなりますから、
どれだけウィルスが頑張っても、盗まれるのは秘密鍵のない役立たずの証明書だけです。
証明書が盗まれるのは望ましいことではありませんが、最悪の致命的事態、
すなわち勝手にネットバンキングを操作される事態は避けられるのです。
このことはネット上に限らず、
現実の不法侵入者や無権限者が実際パソコンの前で不正操作し、
その中の証明書を盗もうとした場合でも同様で、そのような被害を回避できることになります。
ところで「pkfcx」は、
このWindowsの最後の防波堤である
「秘密鍵エクスポート禁止」を無効化することができるものです。

これはある面セキュリティを弱める危険なものにも思われます。
しかしながら「pkfcx」は次のような運用によってよりセキュリィティを高めることが可能です。
1.ネットバンキングの管理者は不意の障害に備え「pkfcx」を使いエクスポート禁止のものも含め
全てのバンキング用証明書のバックアップをとる。
2.次にパソコン内の全ての証明書を「pkfcx」を使い「秘密鍵エクスポート禁止」に設定する。
ただこれだけです。
尚、エクスポート禁止のものをエクスポート可にすることは「pkfcx」以外できませんが、
エクスポート可のものをエクスポート禁止にすることは、通常のプログラムで簡単にできます。
但しそのようなツールはあまり見かけませんが。
これによって、管理者はバックアップを持ちながら、パソコンからの秘密鍵エクスポート禁止を
すなわちセキュリティを維持ないしより高く設定できることとなります。
証明書の秘密鍵が、ウィルスによってネットで奪取されることや、
現実の不法侵入者による盗難に遭うことを回避できるのです。
ただ、次のようなことが想定できます。
1.ウィルスが「pkfcx」と同様の機能をもって「秘密鍵を強制的にエクスポート」したとしたら。
2.現実の侵入者が「pkfcx」そのものを使って「秘密鍵を強制的にエクスポート」したとしたら。
残念ながら、もしそのような事態になった場合は、どうすることもできません。
「pkfcx」というもの、ないしそのようなものが存在しまた存在しうる以上、
原理的に上記事例に対処する方法はないと思われます。
1.の事例には「そのようなウィルスに感染しないようにする」という対処にならないような対処しか考えられません。
2.の事例については、少しだけですが危険を減らす方法があります。運よく侵入者の「pkfcx」が試用版だった場合に限りますが、
ターゲットのパソコン内にて「pkfcx」が一度でも使われたことがあり、かつ試用回数超過または試用期間経過していれば、
そのパソコンで試用版は使えません。この試用制限は高度なプロテクトで維持されています。
よって管理者はそのパソコンで「pkfcx」の登録情報を消去しかつ試用期間超過ないし回数超過の状態にすることで、
少なくともフリーで手に入る「pkfcx」からの被害を回避できます。