「情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は皆さんにも身近な「個人編」がテーマです。

第6位　インターネットバンキングの不正利用

概要

「○○銀行です。安全確認のため以下URLよりパスワードの変更をお願いします。」といったメールが届いた経験のある方はいらっしゃいませんでしょうか。

この脅威は、上記のように金融機関などを装ったSMSやメールを送り、偽のウェブサイトへ誘導し、IDやパスワードなどを入力させることで盗み取る攻撃です。また、メールの添付ファイルなどからウイルス感染させ、IDやパスワードを盗み取られるケースも存在します。

もし上記の攻撃が行われた場合、インターネットバンキングアカウントに不正ログインされ、不正送金などが行われる可能性があります。

続いて、具体的な手口をご紹介します。

1.　フィッシング詐欺

偽のメールやSMSを送信し、偽のウェブサイトに誘導して、インターネットバンキングの認証情報を盗み取る手口です。銀行の場合、二要素認証が利用されている場合も多いため、ワンタイムパスワード等の別の認証情報を盗み取ろうとしてくる場合もあります。

2.　ウイルス感染

メールに、ウイルス感染させるよう細工したファイルを添付し、ファイルを開くように誘導して、被害者の端末をウイルス感染させる手口です。添付ファイル以外に、改ざんされたウェブサイトに誘導してウイルス感染させる場合もあります。

もしウイルスに感染した端末でインターネットバンキングにログインしようとすると、自動的に偽のログインページが表示され、入力した認証情報がウイルスにより攻撃者に盗み取られてしまいます。

対策

1.　情報の真偽を見極める

この脅威はまず、正しいメールなのか、正しいサイトなのかといったことを見極めることが大切です。
たとえば以下のような対応を行いましょう。

• 受信メールやウェブサイトに不審な点がないか確認
• メールの添付ファイルやリンクは開かない
• よく利用するインターネットバンキングはブックマークしてそこからアクセスする
• 普段出てこないような画面には情報を入力しない
• 添付ファイルの拡張子を確認する
• 金融機関などが発信する不審なメールなどの情報を確認する

2.　設定の変更で対策する

各個人のリテラシー以外に、インターネットバンキングなどに関する設定を変えることで対策をするという方法もあります。たとえば以下のような対応が挙げられます。

• 添付ファイルなどの拡張子を表示する
• 二要素認証等、金融機関が推奨する認証方式を利用する
• 暗証番号のみで取引ができてしまうものなど認証に不備がある口座は取引停止する

3.　被害の早期検知

インターネットバンキングの不正利用については、いくつかの視点から早期発見ができる可能性もあります。たとえば以下は定期的にチェックしましょう。

• 身に覚えのないログイン履歴がないか
• 身に覚えのない口座の利用履歴がないか

また、サービス利用状況の通知機能を有効にしておくなどの手段も有効的です。

4.　被害を受けた際の対応

インターネットバンキングは金銭に直結することから、特に早急な対応が必要となります。
まず、判明した時点で以下のような対応を行いましょう。

• 該当サービスの窓口への連絡
• 当該口座の利用停止
• 警察への被害届提出
• 弁護士などへの相談
• ウイルス感染した端末の初期化・ウイルススキャン
• 当該サービスのパスワード変更

まとめ

今回は、「情報セキュリティ10大脅威（個人編）」の第6位をご紹介しました。

インターネットバンキングの不正利用は、金銭に直結する問題であり、特に被害の大きくなりやすい脅威と言えます。また、不正送金事件のうちのほとんどが個人の不正送金被害という調査結果も出ています。

インターネットバンキングが普及したことで、口座の確認や金銭のやり取りなどは非常に便利になりましたが、同時にたくさんの脅威と隣り合わせであることを把握しておくことが大切です。

次回は、「第5位　クレジットカード情報の不正利用」をご紹介します。