情報法学日記　by 岡村久道

警察庁が、インターネットバンキング利用者の金融情報を狙った新たな犯行手口の発生について、平成24年10月26日付けで広報資料を公表して、注意を呼びかけている。

この広報資料によると、次のような内容である。

利用者が、金融機関の正規のインターネットバンキングのページからログインをすると、不正にポップアップ画面が表示され、
「システムのメンテナンスや機能の向上のためにお客様情報の再入力を
お願いします。」
などの記載とともに
・第２暗証
・質問、合言葉
・インターネット用暗証番号
などの入力フォームが表示されるもの。

要するに、正規のネットバンキング用の銀行サイト画面上に、ニセ入力画面をオーバーレイするという手口であり、手が込んでいる。

フィッシング詐欺のように偽サイトへ連れて行くのではなく、本件の場合には、本物の銀行サイトの前で待ち構えてキャッチする。詐欺師がニセ店舗に連れて行く代わりに、本物の店舗の前で詐欺師がたむろして、あたかも本物の銀行員のような顔で話し掛けてくるようなものだ。フィッシング詐欺とは呼べないから、それに代わって、どう呼べばいいのだろうか。

この事件を見て、1973年発生の大阪ニセ夜間金庫事件を思い出す人も多いのではないか。三和銀行（当時）の阪急梅田北支店にニセ夜間金庫が設置されたというものである。本物の前にニセモノを置いて信じさせようとする発想の基本が類似している。

本件の性格上、おそらく国内犯だと思われる。マルウェア、つまり、刑法上の不正指令電磁的記録に該当するはずである。早く検挙されることを望みたい。

補足しておくと、本件は、他にも不正アクセス禁止法７条違反として、罰則の対象となることもありうる。同条は、典型的なフィッシング行為に限定しているわけではないからである。

不正アクセス禁止法

（識別符号の入力を不正に要求する行為の禁止）
第七条 　何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。
一 　当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信（公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。）を利用して公衆が閲覧することができる状態に置く行為
二 　（略）

第十二条 　次の各号のいずれかに該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
一 　第四条の規定に違反した者
二 　第五条の規定に違反して、相手方に不正アクセス行為の用に供する目的があることの情を知ってアクセス制御機能に係る他人の識別符号を提供した者
三 　第六条の規定に違反した者
四 　第七条の規定に違反した者
五 　第九条第三項の規定に違反した者

＜参考＞

・警察庁「インターネットバンキング利用者の金融情報を狙った新たな犯行手口の発生について」

・ウィキペディア「大阪ニセ夜間金庫事件」

・不正アクセス禁止法

先般、いわゆる標的型メール（スピアメール）攻撃を受けた。

これには、さまざまなものがある。
今回の手口は、特定の関係者を装ってたメールを特定の者宛に送り付け、添付ファイルにマルウェアを仕込んで、それを回答などすると、受信者が当該マルウェアに感染するというものである。

具体的には、次のようなものである。スクリーンショットを掲載するので、参考にしてほしい。典型的な標的型メール攻撃の手法であると言えよう。

「内閣府大串大臣政務官秘書官」名義の、表題「御依頼の資料について」であって、 「エネルギー.zip」なる添付ファイル付き。

もちろん心当たりがないので、開けずに問い合わせのメールを送ったら、リターンメールで返ってきた。

中央省庁関係者は、これまでも、こうした攻撃の被害に遭ってきた。

仕込まれたマルウェアは、既知のものではなく、いわばオーダーメードのものが多い。

そのため、添付ファイルを開いてしまうと、通常のマルウェア対策ソフトをインストールしていても、それに引っかかることなく、受信者に感染被害が生じてしまう。ウイルスパターンでは検出が困難だからである。

そうした難点を避けるため、「FFR yarai」のように、ウイルスパターンに依存することなく、マルウェア特有の「悪意」ある構造や振る舞いから顕出する対策ソフトもある。

こうした標的型メール攻撃は、刑法１６８条の２以下に定められた「不正指令電磁的記録に関する罪」に該当しうる。

しかし、実際には国外から送り付けられることが多く、他国のサーバを何重にも踏み台にしていることが多い。これらの理由で、捜査は困難を極める。国際的な捜査協力が必要とされる理由である。

他にも課題は多い。

第１は、啓発体制である。

私は、それなりに情報セキュリティに詳しいので、すぐに標的型攻撃であると、幸いにも見破ることができた。しかし、同種のメールを送り付けられた人の中には、見破ることができず、感染した者もいたのではないかと懸念される。

第２は、情報分析に関する課題である。

実は知人のマルウェア対策研究者から頼まれて、今回のメールを添付ファイルごと送ろうとも考えたが、「不正指令電磁的記録」に該当するものだけに、送信するのには気が引けて、できなかった。

これは「不正指令電磁的記録に関する罪」の立法過程において懸念された点でもある。

こうした懸念を避けるためには、国の情報セキュリティ対策部門に、届け出る方法がある。

経済産業省の外郭である「独立行政法人 情報処理推進機構」では

「コンピュータウイルスに関する届出窓口」

を開設しているので、これを利用する方法がある。

http://www.ipa.go.jp/security/outline/todokede-j.html

しかし、まだ窓口の存在は十分に知られていない。もっと周知が必要である。研究者宛に、迅速かつ正確な情報共有が出来る仕組みも再検討する必要がある。

第３に、標的型メール攻撃専用の届け出窓口がないことである。

今回の攻撃では、私の友人である情報セキュリティ研究者で、中央省庁に関与している複数の人らも、同種の送り付け攻撃を受けている。

ツイッターでも、同種の攻撃を受けた事実を明らかにする人が居る。

どういった範囲や属性の人宛に送りつけられたのか。標的型メール攻撃特有のマップを作る必要もあろう。

このように、まだまだ課題は残されているのだ。

そのために標的型メール攻撃特有の窓口を作る必要もある。

「独立行政法人 情報処理推進機構」では

情報窃取を目的として特定の組織に送られる不審なメール「標的型攻撃メール」

http://www.ipa.go.jp/security/virus/fushin110.html

を掲載している。

その中で標的型攻撃について解説されていること、心配な人向けに「情報セキュリティ安心相談窓口」を開設していることを付記しておきたい。