ネット決済保護:オンラインでお金を守るには

外出時に持ち歩く現金を除くと、お金は普通どこに保管されているものだろうか?

もちろん、ギャング集団は人目を引かない穴倉に現金を隠そうとするし、おばあちゃんは今でもストッキングにくるんで絨毯の下に置くのが一番安全だと思っているだろう。だが、それ以外は、現金はできるだけすぐに現金以外、つまり仮想のお金に置き換えて、銀行や金融機関に預けるのが賢明だと考えるし、そうすれば少し利子もつくだろう。銀行では現金を大型金庫に保管する。そうした賢明な選択に伴って、最近はオンラインバンキングやオンラインショッピング、その他、オンライン○○と呼ばれる便利なサービスがいろいろ利用できる。

そして、お金とインターネットが密接につながれば、サイバー空間のならず者たちがお金を目当てにぞろぞろやってきて、当座預金であろうと定期預金であろうと、はたまたクレジットカードであろうと、口座情報や会員情報を手に入れようとするのも、当然の成り行きだ。だが、ここで話しているのは、薄汚れたぼさぼさ頭の、サイバー地下組織のはぐれ者の 2 人組がたまたま引き起こす事件の脅威についてではない。ここで取り上げるものは、世界規模で起きている本当に深刻な問題なのだ。組織的に遅滞なく運営されている、取引額は何十億ドルにもおよぶ犯罪産業だ。だから世界中のユーザーの大多数が、インターネット上の金融取引のセキュリティを最も重要な問題(英語版PDF)とみなしているのも当然だ。

そこで、銀行が現金を保管するために金庫を備えているように、インターネットでアクセスできる仮想のお金にも金庫があってしかるべきだ – 防弾処理された鋼鉄製の金庫にも劣らないほどの安全性を備えた仮想金庫が。ではここで、我々の新しいネット決済保護を紹介しよう。この機能はカスペルスキー インターネット セキュリティの現在のバージョン(日本ではカスペルスキー 2013 マルチプラットフォーム セキュリティに同梱)に搭載される。

ネット決済保護の詳細機能を紹介する前に、インターネット上の詐欺がどのように行われるかを見てみるとしよう。より具体的には、皆さんのオンライン銀行口座や「お金が関連する」その他口座のログイン ID とパスワードの情報を手に入れる方法だ。

詐欺師たちは、主に次の 3 通りの方法を使う。

  • データを盗むために被害者のコンピューターにトロイの木馬を感染させ、画面ショットを撮り、キーボード入力情報を記録する。感染は、一般に普及しているソフトウェアのぜい弱性の悪用を通じて頻繁に発生する
  • フィッシングとソーシャルエンジニアリング。オンラインストアや銀行の Web サイト、ダイアログボックスを本物であるかのように見せかけるフィッシング、電話などを使うソーシャルエンジニアリング、という手法がある
  • スニッフィング偽物の DNS/Proxyの使用、不正な電子証明書の使用による中間者攻撃(man-in-the-middle 攻撃)、 man-in-the-browser 攻撃、無線LANへの不正接続(ウォードライビング)によるトラフィック傍受など、高度な技術の利用

さらに、金銭目的のサイバー犯罪へ対抗する観点から、3 つの問題点をあげてみよう。

  • 信頼できるサイトを識別できないこと
  • インターネット上のオンラインサービスとクライアントの間に信頼できる通信接続がないこと
  • コンピューターにインストールされたソフトウェアがマルウェアに悪用されるぜい弱性を含んでいない、という保証がないこと

幸運なことに、最新のカスペルスキー インターネット セキュリティと同レベルのセキュリティ製品であれば、これらの問題は適切に対応されており、よほど怠惰なセキュリティ製品の開発元以外はフィッシングへの対策を製品に組み込んでいる。しかし、品質は別の問題で、実際に起こりうるシナリオ(具体的なシナリオについては、下記を見てほしい)から、十分に安全であるとは言えない。多数のセキュリティ製品は、いまだに、包括的な保護を提供するために必要な機能をすべて備えているわけではない。さらに悪いことに、搭載されている機能も、実際に問題を解決するために連携して動作できていない。ここで本当に必要なのは、多角的かつ広範囲に対処できる「医術」なのだが。

さて、ではいよいよここで、ステージに登場してもらおう…ネット決済保護テクノロジーだ!

ネット決済保護は、最新版のカスペルスキー インターネット セキュリティに搭載されている。ユーザーは、銀行、店舗、オークション、決済システムなど、お金が使われて保護が必要なオンラインサービスのアドレスを入力するか、または、1500 の銀行と 85 のドメインがあらかじめ登録されたデータベースの中からサイトを選択する。サイトに入る際、[保護されたブラウザを自動実行する]オプションを選択する必要がある(注:日本では2013年2月現在、376の金融機関のサイトを登録済み)。設定後は、そのサイトでのセッションは自動的に起動する、特別な、保護されたブラウザーのモードで行われる。

 オンライン決済機能 - イントロ画面

では、この保護されたブラウザーのモードでは何が守られるのだろうか?

第 1 に、ユーザーは、クラウドベースの KSN Kaspersky Security Networkビデオ詳細情報)を通じたサイトのレピュテーションの確認や、サイトのヒューリスティック分析などの、あらゆるアンチフィッシング テクノロジーで守られる。そして、もしもサイバー詐欺師が、ユーザーの取引銀行を装った電子メールで偽サイトを開かせようとした場合には、ネット決済保護はその攻撃を検知してユーザーにそのことを警告し、攻撃を阻止する。もちろんサイト名を偽るスプーフィングネット決済保護をすり抜けることはできない。

第 2 に、新しいカスペルスキー インターネット セキュリティは、 サイトとの安全な接続を確立するために KSN のデータベースで電子証明書をチェックし、偽物の電子証明書が使用されるのを防ぐ。

 オンライン決済機能 - ブロック

第 3 に、該当サイトを開くたびにカスペルスキー インターネット セキュリティはオペレーションシステムの高速スキャンを行い、サイバー詐欺師がコンピューターを攻撃して通常の保護を素通りするのに利用される可能性のある重大なぜい弱性がないか調べる。もしもぜい弱性が見つかった場合には、ユーザーに告知し、Windows アップデートで更新をダウンロードして「セキュリティホールを修復する」よう忠告する。

そして最後に、保護されたブラウザーには、特に Web サイトのために強化されたアプリケーションコントロール(HIPS)と、文字入力を助けるためのセキュリティキーボード(前のバージョンから継承)が含まれている。さらに、オペレーションシステムのドライバーレベルで動く、キーロガー対策としての新しい「データ入力の保護」機能がある。

セキュリティキーボード:仕組み

つまり、我々が開発し統合されたネット決済保護は、金融詐欺やネット決済を狙ったマルウェアへの対策に特化した多層的な保護であることを理解いただけると思う。特に強調したいのは、この保護は製品のそれぞれの機能が同期しながら全体として機能している点だ。ぜい弱性を狙った既知と未知の攻撃を防ぐぜい弱性攻撃ブロックも(この機能については言い忘れただろうか?)そのひとつで、オンライン金融関連サービスをネット上で安全に動作させる。まとめると、ネット決済保護の「管理」下では、もうさまざまな保護のテクノロジーは個別に機能するのではない。その反対に、連携しながら互いに情報を交換し、統一された戦略に従いながらも、それぞれのタスクを遂行するのだ。

 ネット決済保護 - ピラミッド

ネット決済保護には他にもたくさんの強みがある。

このテクノロジーは、ユーザーが意識せずとも機能する。特別な保護されたモードは自動的に起動するので、ユーザーがその都度オンにする必要はない。ブラウザーのウィンドウがハイライト表示されて、保護されたモードの起動を知らせるので、作動状態をいつも把握していられる。また、調整が必要な設定もないので、選択ばかりさせてユーザーをわずらわすこともない。ユーザーは、攻撃がブロックされたという警告を受けるだけだ。そして、もちろんネット決済保護は最も一般的な(つまり最も攻撃を受けやすい)、Internet Explorer、Chrome、Firefox といったブラウザーと互換性がある。

ではここからは、前に触れた具体的なシナリオについて話す。

我々は、チェコの第三者テスト機関の Matousec にさまざまなセキュリティ製品について、お金の取引をするオンラインサービスに対する典型的な攻撃をエミュレーションして、仮想金庫の品質を確認する比較テストの実施を依頼した。Matousec は 15 の典型的なシナリオ(英語版PDF)について 14 の関連セキュリティ製品の動作をテストした。

matousecテスト - ネット決済保護機能ネット決済保護機能テスト結果 – 縦軸はテストの合計スコア

ご覧のとおり、全体的なセキュリティは悲惨な状況だ。仮想金庫であると言われる製品の半分は、どの攻撃も全く阻止できなかった。一方、2 つの製品だけは阻止率 100 パーセントの結果だったが、そのうちのひとつが カスペルスキー インターネット セキュリティ のネット決済保護だった。ちなみにもうひとつの製品は、テスト対象の中でただひとつ、オンラインバンクだけに特化した仕様の製品だ。銀行が無料配布しているもので、他のタイプの脅威に対する複合的な保護はまったく備えていない!

ここで、オンラインバンキングを少しでも使ったことがある人たちにネット決済保護テクノロジーの必要性についてたずねてみてもいいかもしれない。まともな銀行であれば、多要素認証やワンタイムパスワード、SMS 通知、安全な接続、パスワード強度のチェック、そして場合によれば、仮想キーボードまで提供している中で、ネット決済保護は必要なのだろうか。もしかしたら余計なものなのでは?

確かに、まともな銀行が上記のような対策を取っていることは、セキュリティ向上に大きく貢献している。よくやった!しかし…

第 1 に、銀行と同じように、ネット犯罪者もいつまでも同じことを繰り返しているわけではない。オンライン取引のセキュリティ対策をくぐり抜ける方法を常に編み出している。たとえば、ZeuS-in-the-mobile というマルウェアは、SMS で送られるワンタイムパスワードを盗むために、犯行準備用に作成されている。

第 2 に、残念ながら今のところ、世界を見渡せば、それなりのセキュリティ対策を行っているまともな銀行が多いとは言えない。オンラインストアにいたっては、かなりひどい状況が普通だ。オンラインストアはユーザーの利便性を重視しているが、セキュリティがおろそかになっている。試しに Amazon を見てみると、1-Click を使った注文は注文の確定とカードでの支払い処理が同時にできるが、パスワードを一度入れるきりだ!

そして、ここで挙げるものとしては最後になるが、インターネット上のお金の取引は、すでにとても攻撃を受けやすくなってきていることに加えて、攻撃自体も急速に発展しつづけている上に予測ができない。だから、保護をもう一層重ねることは決して無駄にはならない。

ネット決済保護の詳細情報はこちらを見てほしい(英語版PDF)。

コメントを読む 1
コメント 0 コメントを書く
トラックバック 1

データ盗難に遭ったことは? | Save the Worldの思いを伝えたい – カスペルスキー公式ブログ

コメントを書く