高木浩光＠自宅の日記

■ 朝日新聞の記事を真っ当な内容に書き直してみた

朝日新聞の

• 強力ウイルス、ネット銀行標的　「感染なら防御策なし」, 朝日新聞, 2008年3月3日

という記事のことが、スラッシュドットジャパンで「意味不明だ」と話題になっていた。

• 朝日新聞の「感染なら防御策なしの強力ウイルス登場」報道を理解できますか？ , スラッシュドットジャパン, 2008年3月5日

まあ、朝日新聞のIT記事にしては良い出来ではないか。肝心の要点である以下の部分はきちんとおさえられていたから、私には何の話か理解できた。

ユーザーが振り込みをしようとすると、気付かないうちに振込先がウイルス作成者の口座に書き換えられ、振込金をかすめ取られるなどの被害を受けることになる。

しかし、この点がなぜ重要なのか、それが伝わらない記事だったのだろう。

このマルウェアが危険視される理由は、銀行側がこれまでにとってきた「二要素認証」の導入という対策が全く役に立たないからだ。

「二要素認証」とは、通常のパスワードの他にもうひとつの認証要素として、乱数表やワンタイムパスワード生成器などを併用する方式のことで、日本の銀行でも採用するところが急増している。米国では、フィッシング被害の増大に悩まされる中、FFIEC（連邦金融機関検査協議会）が、2005年10月に発表したガイドライン「Authentication in an Internet Banking Environment」で、2006年末までに二要素認証を導入するよう促し、多くの銀行が導入を進めていた。

しかし、二要素認証がフィッシングやマルウェアによる攻撃を防止し切れないことは、技術系のセキュリティ屋からすればわかりきったことだった。Bruce Schneier氏も2005年の3月の時点で「銀行らは二要素認証で億単位の金をドブに捨てている」という批判をしていた。その懸念は現実のものとなり、フィッシングについては、2006年7月にcitibankで被害が発生して騒ぎとなり、マルウェアについては、2006年2月に話題になっている。このことについては、2007年9月23日の日記「対策にならないフィッシング対策がまたもや無批判に宣伝されている」の後半部分でまとめた通りである。

朝日新聞が今回取り上げた「ウイルス」も、そのような手口のマルウェアのひとつなのだろう。情報元のSymantecのblogでも冒頭で「having the ability to circumvent two-factor authentication」と言っているように、二要素認証が回避されてしまうことがこの話の肝である。朝日新聞はそのことを書いていない。

なぜこの記事がこのタイミングで出たのかわからないが、日本ではちょうど先月、全銀協が、インターネットバンキングでの不正送金被害を原則全額補償するという方針を打ち出したところだ。

• ネットバンキング、不正被害を原則補償 全銀協, 朝日新聞, 2008年2月19日

  全国銀行協会は１９日、インターネットバンキングや、盗難に遭った通帳で預金を不正に引き出された場合、預金者に過失がなければ銀行側が原則全額補償する自主ルールを策定した。ただ、ネットバンキングで、預金者に何らかの過失があると思われる場合は、個別に補償内容を協議する。（略）

  ネットバンキングでは、預金者に不正なプログラムを電子メールで送りつけて暗証番号を盗み取り、預金を引き出す被害が出ている。このため、各行は安全対策の向上にも努める。

偽造キャッシュカードなどによる被害は、2006年の預金者保護法以来、補償されることになっていたが、これをインターネットバンキングにまで広げるというのは、ちょっと無謀な決断ではないかと私は思っていた。なぜなら、マルウェア（トロイの木馬）による被害や、フィッシングによる被害は、銀行側では対策が不可能だからだ。

基本的に、フィッシングは、利用者がURLの確認を怠らないよう注意する以外に防御策はなく、マルウェアは、利用者がトロイの木馬を踏んでしまわないよう注意する以外に防御策はない。利用者がそれらの注意を怠った場合にも、銀行は補償するつもりなのだろうか。

こういう論点こそ、朝日新聞は今回の記事で書くべきだったのに、肝心なことを書いておらず、まことにもったいない。もし私が取材を受けていたなら、記事は次のようになっただろう。

強力ウイルス、ネット銀行に防御策なくお手上げ

インターネット上で銀行と取引をする「インターネットバンキング」のユーザーを狙う、攻撃力の強いコンピューターウイルスが新たに見つかった。まだ大きな被害は出ていないが、銀行側では対策する術がなく、専門家らは警戒を呼びかけている。

ウイルス対策ソフト会社のシマンテックによると、問題のウイルスは「サイレント・バンカー」と名付けられ、昨年末に米国などで見つかった。「トロイの木馬型」に分類されるタイプで、怪しいファイルを開いたり、欠陥のあるソフトでウェブサイトを閲覧したときに感染する。日本の銀行では１月末時点で被害は確認されていないが、今後、ウィニーなどファイル共有ソフトを通じて感染が広がる恐れもある。

ネットバンキングを狙ったウイルスはこれまでも数多く見つかり、銀行側も対策を取っている。パスワードを盗み読む「キーロガー」と呼ばれるトロイの木馬に対抗するため、キーボードを使わずにパスワードを入力する方式や、一回限りしか使えないパスワードを導入している銀行も多い。

だが、今回見つかった「サイレント・バンカー」はこうした対策をくぐり抜けてしまう。ユーザーがパスワードでネットバンキングに入った後に活動を開始し、ユーザーと銀行の通信を乗っ取る。ユーザーが振り込みの操作をしたときに、気付かないうちに振込先がウイルス作成者の口座に書き換えられ、振込金をかすめ取られるなどの被害を受けることになる。

全国銀行協会は先月、預金を不正に引き出された場合に預金者に過失がなければ銀行側が原則全額補償する自主ルールを、インターネットバンキングにも適用する方針を打ち出した。ウイルスに対しては、各行が安全対策の向上にも努めるとしているが、「サイレント・バンカー」には銀行側でできる対抗策がないと専門家は指摘する。感染者が続出すれば銀行はひたすら補償に追われることになるが、それでもユーザーに過失はないとして全額を補償するのか、銀行の動向が注目される。

産業技術総合研究所情報セキュリティ研究センターの高木浩光主任研究員は、「これまで文系のセキュリティ屋がお経のように唱えてきた『パスワードを定期的に変更せよ』とかいう対策は何の防御策にもならない。ユーザーは、ソフトウェアを常に最新のものにして、マルウェアを誤って実行しないよう注意するしかない。安全なファイルの開き方を学校教育で教えるべきだ」と話している。

追記

せっかくなので新聞風にレイアウトしてみた。

（使用ソフト：「朝刊太郎 Ver0.95β31」）