情報セキュリティマネジメント試験 平成30年秋(2018)午後 ①インターネットを利用した振込業務

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. IBサービスって何?
  2. トランザクション認証とは?
  3. IB サービスを利用する情報セキュリティリスクと対策について
  4. MITBというサイバー攻撃は?
  5. 偽りメールにだまされないための対策



はじめに、架空の会社 F 社の説明

F 社は、従業員数 70 名の商社であり、主にインテリアやギフト用品の仕入れ、販売を行っている。F 社には総務部、企画管理部、商品部、営業部がある。
F 社では、3 年前に最高情報セキュリティ責任者(CISO)を委員長とする情報セキュリティ委員会を設置、情報セキュリティポリシ及び情報セキュリティ関連規定を整備した。

インターネットバンキングサービスの利用

F 社は、C 銀行に口座をもち、C 銀行が提供する法人向けインターネットバンキングサービスを次の目的で利用している。
・自社の口座の残高および入出金明細の照会
・取引先への商品代金の振込、運送業者への輸送費の振込、従業員への給与振込みなど

F 社で IB サービスを利用しているのは、経理課の L 課長、M 主任及び N さんの3名である。
振込に関する取引先との電子メール連絡などは各自の会社貸与の PC で行い、IB サービスの利用は、 IB サービス専用の PC 1 台で行っている。

IBサービスの利用者登録申請及びログイン

F 社では、経理担当者それぞれに、IB サービスの利用者 ID 及びパスワードが発行され、トークンが提供されている。IC カードは 1 枚を 3 名で共有している。

PC のマルウェア感染による秘密鍵の情報漏洩リスクを低減するため

F社における標準的な振込手順

F 社では、自社のサーバーで稼働している会計システムの取引先口座マスタの登録、変更、削除の操作は M 主任が担当している。取引先口座マスタには、取引先の口座情報(金融機関名、支店名、口座種別、口座番号、口座名義人)が登録されている。

上記の IB サービスでの振込(承認)
権限をもつ M 主任が内部不正を働くおそれもあります。そこで内部不正を思いとどまらせるための策として、IB サービスの履歴と振込依頼書を突き合わせて点検できるという有効なけん制手段が準備されています。

5. 振込の記録及び振込依頼書の保管
M 主任は、振込承認を実行した日付を F 社会計システムの振込依頼情報に追記する。また、振込依頼書を共有キャビネットに保管する。

F 社における IB サービス利用時の情報セキュリティリスク及びその対策

IB 専用 PC のマルウェア感染リスクの対策
・マルウェア対策ソフトのマルウェア定義ファイルを最新化する。
・ IB 専用 PC では、メール利用を禁止する。
・ IB 専用 PC から社内のファイルサーバへのアクセスは、企画管理部の共有フォルダへのアクセスだけを許可する。
・ IB 専用 PC では、使用してはならない USB ポートを物理的に閉鎖する。

IC カードの盗難、紛失リスクの対策
・利用時以外は、ICカードを経理担当者用の共有キャビネットに施錠保管する。

経理担当者以外の者による、IB サービスへの不正なログイン操作リスクの対策
・IC カードの暗唱番号を推測されにくいものにする。
・IBサービスのパスワードを推測されにくいものする。

経理担当者の他の経理担当者へのなりすましによる、または、経理担当者以外の者による、不正な振込操作のリスク対策
・トークンを各自のロッカーに施錠保管する。
・振込の操作を知らせるメールの宛先として、経理担当者 3 名のメールアドレスを登録する。

経理担当者による、自身の利用者 ID を使った不正な振込の承認のリスク対策
・振込操作を知らせるメールの宛先として、経理担当者 3 名のメールアドレスを登録する。

B 社からの問合せ

10 月 2 日の朝、取引先である B 社の営業担当者から、先月末までに入金予定の商品代金 800 万円がまだ入金されていないとの電話が入った。応対した L 課長は、折り返し返答を約束して電話を切り、N さんに F 社会計システムの記録を確認させたところ、当該代金は振込済であることが分かった。あいにく M 主任は外出しており不在だったので L 課長は、N さんに振込の詳細を確認した。

・IB サービスの履歴を確認しましたが先月 28 日に振り込んでいる。
・振込先誤りの可能性はありませんか?
・振込先は振込依頼書どおりでしたが、8 月まで利用していた B 社の口座とは違っていました。振込時は L 課長が出張中だったので振込依頼書の承認は受けずに振込の承認を実行するよう M 主任から直接指示をうけました。IB サービスで私が振込の承認依頼を実行した後、M 主任がそのまま承認しています。

・M 主任に経緯を確認しましょう。IB 専用 PC のマルウェア感染も心配です。MITBというサイバー攻撃名で振込の操作画面上は正しく操作しているように見えても、銀行との間で送受信される振込先口座情報をマルウェアが書き換えていたという報道記事を以前読んだことがあります。

・M 主任も B 社に入金されていない理由は分からなかった。M 主任によれば、先月末、B 社の経理部長との間で請求書の発行時期や振込期限などについてメールでやり取りをしており、口座変更の連絡を改訂された請求書を受信し、了解の旨を返信した後、お礼を受信してメールのやり取りを終えていた。

MITB攻撃に最も有効なものは、トランザクション認証といって、利用者は、振込の承認を実行するとき、振込先の口座番号をトークンに入力する。トークンは、トークンごとの秘密情報、振込先の口座番号及び時刻情報を基にしてあるアルゴリズムによってワンタイムパスワードを生成する。利用者は、そのワンタイムパスワードを IB サービスの操作画面に入力して振込を承認する。

B社の経理部長からのメール

日時:2018年9月27日 16:36
差出人:yyyy<yyyy@interiar-bsha.com>
宛先:M@f-sha.com
CC:zzzz@interiar-baha.com
件名:Re:Re: <ご相談>支払い条件の件
M 様
諸々お気遣い頂きありがとうございます。
追加のお願いで申し訳ないのですが、この旅、弊社銀行口座を書きの通り変更いたしました。月末の急な連絡でまことに恐縮ですが、今月末の入金から、新口座宛てにお振込みいただけますでしょうか?
不都合、不明点などありましたらご連絡いただきたくよろしくお願いします。
新口座
*****銀行*****支店
普通預金 xxxxxx
名義   ビーシャ
改訂した請求書の写しを添付します。添付ファイルを開封するためのパスワードは前回と同じです
B 社経理部 YYYY

B 社の経理部長からのメールに表示されていたメールアドレス

B 社の経理部長 YYYY@interiar-bsha.com YYYY@interior-bsha.com
B 社の社長   ZZZZ@interiar_bsha.com ZZZZ@interior-bsha.com

B 社の経理部長に確認したところ、B 社は口座を変更しておらず、変更を伝えるメールは送っていないとの事。

手口と対策

後日、警察から、9 月末に B 社を退社した元従業員を被疑者として逮捕し、犯行手口に関する供述を得たとの連絡があった。被疑者の指定した口座に振り込ませるよう、偽メールを送信したとのことであった。被疑者は、B 社の経理部長の手帳からメール受信のためのパスワードを盗み見て以来、職場の自分の PC で経理部長のメールを不正に閲覧していた。

B 社の情報システム部が自社のメールサーバに記録されいる受信ログからこのことがわかり、被疑者特定の手掛かりになった。なお、被疑者は、B 社のドメイン名とよく似たドメイン名を取得し、個人所有の PC でメールサーバーを立ち上げて、メールを送っていた。

L 課長は、今回の出来事を教訓として F 社で改善すべき点がないか情報セキュリティリーダである S 主任と話し合った。

今後、偽りメールにだまされないための対策

第三者によるメールの不正な閲覧への対策にもなるので、できれば取引先にS/MIME によるデジタル署名付き暗号メールを使ってもらいたいと思いますが、同意を得て準備する手間もかかります。偽メールに騙されないための対策のうち確実であり、かつ、すぐできるものとして、振込にかかわるメールのやり取りの際は、メールの内容について電話を掛けて確認するのがよいと考えます。そのためには振込に関する詐欺事例と振込時の注意事項を経理担当者に教育することも必要です。

振込依頼情報の作成前に、M 主任が自分一人の判断で取引口座マスタ中の B 社の口座情報を変更出来たという問題があります。

対策として、F 社会計システムの取引先口座マスタの登録及び変更のワークフローシステムを導入し、その申請権限と承認権限を分離することを進めます。振込依頼書の承認が省略できたという問題については、振込依頼情報を申請するワークフローシステムを F 社会計システムに導入し、かつ、振込依頼情報の申請権限と承認権限を分離する。ことを進めます。これによって、振込依頼書の書類を廃止でき、操作結果が社内システムに自動的に記録できるようにもなります。



関連する用語

IB サービス
法人または、個人事業主を対象としたインターネットバンキング
ご自宅からインターネットで「他行への振込」や、「ネットオークションの決済資金の振込」などができるサービスです!

EV SSL/TLS 証明書
厳格な審査を経て発行されるSSLサーバ証明書。強力な暗号化に対応しているウェブブラウザを利用するウェブサイトの訪問者に対し、その SSL/TLS 証明書を所有している企業の名前と証明書発行元である認証局の名前を緑色のアドレスバーとして表示する。

耐タンパ性
秘密鍵や公開鍵証明書など不正に読取りがされない。この IC カードが無いとログインできない。又、マルウェア感染のリスクも無いというメリットがある。このように保護機能をいう。具体的には、IC カード内部のチップを保護膜で厳重に包み、保護膜を剥がしてチップを読取ろうとするとチップ自体が破壊されてしまう仕組みの IC カードです。




学習の確認

  1. IBサービスって何?
  2. トランザクション認証とは?
  3. IB サービスを利用する情報セキュリティリスクと対策について
  4. MITBというサイバー攻撃は?
  5. 偽りメールにだまされないための対策