知らぬ間に資金洗浄の手先に!?

日本に忍び寄る「メタ・フィッシャー」金融詐欺

2006/12/06

verisign01.jpg 日本ベリサイン マーケティング部 相原敬雄氏

 世界中のパソコンに忍び込ませた数十万ものボットを洗練されたGUIで統合管理――、ソフトウェア開発のプロが作成したツールによる高度な「メタ・フィッシャー」(MetaFisher)の金融詐欺が2カ月ほど前、日本に上陸した。過去2週間で、それまで英語だった勧誘メッセージも日本語化されるなど活動が本格化しそうだ。日本ベリサインは12月6日、報道関係者向けに会見を開き、最新のオンライン詐欺手法と、その有効な対策について説明した。

 かつては功名心を動機としたクラッカーのいたずらだったクライムウェアの開発は、ここ数年で金銭目的の犯罪目的へと変質している。特に金融機関とその個人利用者をターゲットとした金融詐欺は、高度に組織化され、ツールの洗練も著しい。

 中でも、今年2月に発見され北米で猛威を振るった「メタ・フィッシャー」と呼ばれるオンライン詐欺ツールの動向が不穏だ。Windowsのセキュリティーホールを悪用してボットをユーザーのパソコンに忍び込ませる手法で数十万台に感染。セキュリティ関係者の監視の目をかいくぐり、発見まで数カ月も活動を続けた。日本ベリサイン マーケティング部 相原敬雄氏によれば、メタ・フィッシャーは、ユーザーがその存在に気付きづらいためにいま現在も撲滅されていないという。

verisign02.jpg メタ・フィッシャーのコマンド&コントロールセンターの画面。画面には出ていないが、日本のパソコンも数万台単位で感染し、リスト上位にあると見られている

 メタ・フィッシャーのボットは、ユーザーのパソコン内で密かに活動し、オンラインバンキングなど特定のやり取りを監視。HTMLファイルにコードを忍び込ませることで口座のIDやログイン情報を収集して管理サーバに送信する。世界中に散らばるボットの活動状況を監視し、コマンドを発行したり、収集情報を解析するためのツールは、商用ソフト並みのGUIを備えたWebアプリケーションとして実装されている。その完成度やツールの充実度、開発サイクルなどから、プログラミング開発のプロが開発に関与していると見られているという。

儲け話や寄付話を装い、資金洗浄の手先として個人に狙い

 メタ・フィッシャーの管理サーバが稼働しているのは、大きなところではロシアに2つ、ブラジルに1つあることが知られている。こうした金融詐欺組織は、ターゲットユーザーの口座から直接お金を引き出さずに、スパムや求人広告により勧誘した個人ユーザーを手下として使う。在宅でできる高収入アルバイトという儲け話や、アフリカの子供たちへの寄付話を装い、個人を「運び屋」として引き込む。詐欺組織は、ボットで集めた口座情報を使い、運び屋になった個人の口座に週に数千から数万ドルの資金が振り込む。そのうち1割を報酬として残し、運び屋は9割を指定された口座に送金するという仕組みだ。

 運び屋となった個人の手元には多ければ週に数千ドルという大金が残るが、不正送金が露見すれば、真っ先に足が付く。「言葉巧みにだまされた」と訴えたところで、違法性について認識があれば詐欺の共犯。組織の資金洗浄に加担したことになる。

 この運び屋をリクルートするスパムメールが、ここ2週間で日本語化され、種類も増えるなど活動の兆しを見せている。「英文の勧誘メールには文法の誤りやスペルミスが多いが、日本語の文面は自然。怪しいものに見えない」(相原氏)という。

被害が先か、規制が先か

 こうしたオンライン詐欺を防ぐには、通信を行う両端で、利用者やサーバの真正性を担保する認証の仕組みが不可欠だ。IDとパスワードだけでない、ワンタイムパスワードなど組み合わせた多重の認証の仕組みが求められる。また、ボットに侵入されたパソコンでは経路の信頼性がないため、例えば自動発信による電話を使った本人確認を行うなどの対策も有効だ。金融関連のトランザクションについては、行動パターン分析による不正監視も有効。例えば日本人の口座であるにもかかわらず、ロシアのIPアドレスからの送金指示があった場合に再度ID以外の別手段で本人確認を行うことで、不正送金のリスクを軽減できる。個人の口座の入出金には、曜日や時間、取引金額、アクセス場所など特定のパターンがあるため、機械的にリスキーなトランザクションを洗い出せる。

 米国では大手を中心にオンライン詐欺防止のためのツールの採用が進んでいる。監督官庁であるFFICE(Federal Financial Institutions Examination Council:連邦金融機関検査協議会)が、金融機関のオンライン取引システム構築におけるセキュリティのガイドラインを示し、各機関に年内の対応を要請したためだ。一方、国内では7月に金融庁による勉強会が開かれるなど動きがあるが、今のところ指針は示されておらず「お上の声を待っている状態」(相原氏)だという。欧米のように大きな被害が出て社会問題化するような段階ではないことから、日本の金融機関では対応が遅れている。

 オンライン金融詐欺の手口は日々巧妙さを増し進化している。日本の金融機関には「大規模な被害が先か、規制が先か」という消極的な対応ではない積極的なセキュリティ強化が求められているのではないだろうか。

関連リンク

(@IT 西村賢)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)