情報セキュリティマネジメント試験 2018年 秋①インターネットを利用した振込業務

はじめに架空の会社の説明

F 社は、従業員数 70 名の商社であり、主にインテリアやギフト用品の仕入れ、販売を行っている。F 社には総務部、企画管理部、商品部、営業部がある。
F 社では、3 年前に最高情報セキュリティ責任者(CISO)を委員長とする情報セキュリティ委員会を設置、情報セキュリティポリシ及び情報セキュリティ関連規定を整備した。

インターネットバンキングサービスの利用

F 社は、C 銀行に口座をもち、C 銀行が提供する法人向けインターネットバンキングサービスを次の目的で利用している。
・自社の口座の残高および入出金明細の照会
・取引先への商品代金の振込、運送業者への輸送費の振込、従業員への給与振込みなど

F 社で IB サービスを利用しているのは、経理課の L 課長、M 主任及び N さんの3名である。
振込に関する取引先との電子メール連絡などは各自の会社貸与の PC で行い、IB サービスの利用は、 IB サービス専用の PC 1 台で行っている。

 

F社における標準的な振込手順

F 社では、自社のサーバーで稼働している会計システムの取引先口座マスタの登録、変更、削除の操作は M 主任が担当している。取引先口座マスタには、取引先の口座情報(金融機関名、支店名、口座種別、口座番号、口座名義人)が登録されている。

F 社における標準的な振込手続き

1. 振込依頼情報作成及び依頼書:データ出力
M主任は、取引先への支払いのために振込を行う場合、F 社会計システムを操作して、振込先名、振込先口座情報、振込金額及び振込先指定日の情報を作成し、振込依頼書として紙に出力する。このとき、取引先口座マスタに登録されている口座情報を利用する。また、M 主任は、振込依頼情報を C 銀行指定の振込依頼データの形式で出力し、企画管理部の共有フォルダに保存する。

2. 振込依頼書の承認(書類に押印)
L 課長は、請求書など、振込の根拠となる証憑と振込依頼書を突き合せて振込依頼情報を確認の上、承認印を押して N さんに回付する。

3. IB サービスでの振込(承認依頼)
N さんは、振込依頼書の記載に従い、IB サービスの操作画面で振込承認依頼を入力する。件数が多い場合は、共有フォルダ上の振込依頼データを IB サービスにアップロードし、振込依頼書の内容と突き合わせて確認する。N さんが承認依頼を実行する。

4. IB サービスでの振込(承認)
M 主任は、IB サービスの操作画面で、振込承認依頼の内容と振込依頼書を突き合わせて確認し、誤りがなければ承認を実行する。これで IB サービスの振込手続きが完了する。振込承認依頼の内容に誤りなどがあれば N さんに差し戻す。又は、M 主任が内容を修正して承認を実行することもできる。
M主任が内部不正を働くおそれに対して、内部不正を思いとどまらせるために有効なけん制手段はどれか?
L 課長が、IB サービスの履歴と振込依頼書を突き合わせて点検し、差があれば M 主任に理由を聞くルールとする。

5. 振込の記録及び振込依頼書の保管
M 主任は、振込承認を実行した日付を F 社会計システムの振込依頼情報に追記する。また、振込依頼書を共有キャビネットに保管する。

IBサービス利用時の情報セキュリティリスク及びその対策

リスク:IB 専用 PC への不正アクセス
対 策:(省略)

リスク:IB 専用 PC のマルウェア感染
対 策:・マルウェア対策ソフトのマルウェア定義ファイルを最新化する。
・「 IB 専用 PC では、メール利用を禁止する。 」
・「 IB 専用 PC から社内のファイルサーバへのアクセスは、企画管理部の共有フォルダへのアクセスだけを許可する。 」
・「 IB 専用 PC では、使用してはならない USB ポートを物理的に閉鎖する。 」

リスク:IC カードの盗難、紛失
対 策:・利用時以外は、ICカードを経理担当者用の共有キャビネットに施錠保管する。

リスク:・「 経理担当者以外の者による、IB サービスへの不正なログイン操作 」
対 策:・IC カードの暗唱番号を推測されにくいものにする。
・IBサービスのパスワードを推測されにくいものする。

リスク:・「 経理担当者の他の経理担当者へのなりすましによる、または、経理担当者以外の者による、不正な振込操作 」
対 策:・トークンを各自のロッカーに施錠保管する。
・振込の操作を知らせるメールの宛先として、経理担当者 3 名のメールアドレスを登録する。

リスク:・「 経理担当者による、自身の利用者 ID を使った不正な振込の承認 
対 策:・振込操作を知らせるメールの宛先として、経理担当者 3 名のメールアドレスを登録する。

B 社からの問合せ

10 月 2 日の朝、取引先である B 社の営業担当者から、先月末までに入金予定の商品代金 800 万円がまだ入金されていないとの電話が入った。応対した L 課長は、折り返し返答を約束して電話を切り、N さんに F 社会計システムの記録を確認させたところ、当該代金は振込済であることが分かった。あいにく M 主任は外出しており不在だったので L 課長は、N さんに振込の詳細を確認した。

・IB サービスの履歴を確認しましたが先月 28 日に振り込んでいる。
・振込先誤りの可能性はありませんか?
・振込先は振込依頼書どおりでしたが、8 月まで利用していた B 社の口座とは違っていました。振込時は L 課長が出張中だったので振込依頼書の承認は受けずに振込の承認を実行するよう M 主任から直接指示をうけました。IB サービスで私が振込の承認依頼を実行した後、M 主任がそのまま承認しています。
・M 主任に経緯を確認しましょう。IB 専用 PC のマルウェア感染も心配です。③振込の操作画面上は正しく操作しているように見えても、銀行との間で送受信される振込先口座情報をマルウェアが書き換えていたという報道記事を以前読んだことがあります。
・M 主任も B 社に入金されていない理由は分からなかった。M 主任によれば、先月末、B 社の経理部長との間で請求書の発行時期や振込期限などについてメールでやり取りをしており、口座変更の連絡を改訂された請求書を受信し、了解の旨を返信した後、お礼を受信してメールのやり取りを終えて
いた。
上記下線のようなサイバー攻撃手法の名前は?
MITB

MITB攻撃に最も有効なもの
(e) トランザクション認証

IB サービスにおける情報セキュリティに関する使用

(a) IB サービスの利用者登録申請及びログイン
IB サービスを利用する法人は、法人内で IB サービスを利用した事務処理を行う者を書面で C 銀行に登録申請する。利用者は、ログインするとき、利用者ごとに発行された利用者 ID 及びパスワードを入力する。利用者は、IB サービスのパスワード管理メニューでパスワードを変更することができる。

(b) デジタル証明書
利用者は、ログインするとき、利用者 ID 及びパスワードに加えて、デジタル証明書を利用する。デジタル証明書は、C 銀行によって IB サービス利用法人の口座ごとに発行される。IB サービス利用法人には、C 銀行からデジタル証明書と秘密鍵を格納した耐タンパ性をもつ IC カード 1 枚、USB接続式 IC カードリーダー 1 台及び PC 用 IC カードドライバが提供される。なお、PC に接続した IC カードリーダに IC カードを挿入したとき、IC カード利用のための暗唱番号を入力する必要がある。暗証番号は IB サービス利用申込み時に書面で登録申請する。
上記下線分で、IB サービスを利用する PC 内のハードディスクに格納させるのではなく、ICカードに格納して提供する目的は?
IB サービスを利用する PC のマルウェア感染による秘密鍵の漏洩リスクを低減するため。

(c) 承認ワークフロー
振込の操作は、承認依頼と承認の 2 回の操作に分かれている。承認は、承認依頼とは別の利用者でなければ実行できない。ただし、承認依頼の操作で入力された情報は、承認の操作の時に修正できる。

(d) ワンタイムパスワード
利用者は、振込の承認依頼を実行する時、C 銀行が利用者ごとに提供するワンタイムパスワード生成器が生成するワンタイムパスワードを IB サービスの操作画面に入力する必要がある。
トークンは、トークンごとの秘密情報と時刻情報をもとにして、あるアルゴリズムによってワンタイムパスワードを生成しており、IB サービスのサーバも同じ情報とアルゴリズムを使うことによってトークンと同期したワンタイムパスワードを生成する。IB サービスのサーバは、利用者が入力したワンタイムパスワードとサーバで生成されたワンタイムパスワードを比較して認証する。ワンタイムパスワードは 1 分ごとに更新され、生成された後 2 分間有効である。

(e) トランザクション認証
利用者は、振込の認証を実行するとき、振込先の口座番号をトークンに入力する。トークンは、トークンごとの秘密情報、振込先の口座番号及び時刻情報をもとにしてあるアルゴリズムによってワンタイムパスワードを生成する。利用者はそのワンタイムパスワードを IB サービスの操作画面に入力して振込を承認する。

(f) 振り込み操作を知らせるメール
(e) の振り込み承認が実行されると、振込の承認が実行されたことを知らせるメールが、あらかじめ IB サービスに登録されたメールアドレスに送信される。メールには、振込み承認を実行した利用者 ID、日時などが記載されている。

(g) 履歴の照会
利用者は、IB サービスの履歴照会メニューで、振込内容、承認依頼及び承認を実行した利用者 ID 、日時などの履歴を照会できる。

(h) EV-SSL
IB サービスでは EV-SSL サーバ証明書を採用している。

M主任が口座変更の根拠として保管していたB社の経理部長からのメール

日時:2018年9月27日 16:36
差出人:yyyy<yyyy@interiar-bsha.com>
宛先:M@f-sha.com
CC:zzzz@interiar-baha.com
件名:Re:Re: <ご相談>支払い条件の件
M 様
諸々お気遣い頂きありがとうございます。
追加のお願いで申し訳ないのですが、この旅、弊社銀行口座を書きの通り変更いたしました。月末の急な連絡でまことに恐縮ですが、今月末の入金から、新口座宛てにお振込みいただけますでしょうか?
不都合、不明点などありましたらご連絡いただきたくよろしくお願いします。
新口座
*****銀行*****支店
普通預金 xxxxxx
名義   ビーシャ
改訂した請求書の写しを添付します。添付ファイルを開封するためのパスワードは前回と同じです
B 社経理部 YYYY

B 社の経理部長からのメールに表示されていたメールアドレス

B 社の経理部長 YYYY@interiar-bsha.com YYYY@interior-bsha.com
B 社の社長   ZZZZ@interiar_bsha.com ZZZZ@interior-bsha.com

B 社の経理部長に確認したところ、B 社は口座を変更しておらず、変更を伝えるメールは送っていないとの事。

手口と対策

後日、警察から、9 月末に B 社を退社した元従業員を被疑者として逮捕し、犯行手口に関する供述を得たとの連絡があった。被疑者の指定した口座に振り込ませるよう、偽メールを送信したとのことであった。被疑者は、B 社の経理部長の手帳からメール受信のためのパスワードを盗み見て以来、職場の自分の PC で経理部長のメールを不正に閲覧していた。
B 社の情報システム部が自社のログ収集システムに保管していたログからこのことがわかり、被疑者特定の手掛かりになった。
なお、被疑者は、「 B 社のドメイン名とよく似たドメイン名を取得し、個人所有の PC でメールサーバーを立ち上げて 」、メールを送っていた。
L 課長は、今回の出来事を教訓として F 社で改善すべき点がないか情報セキュリティリーダである S 主任と話し合った。
上記下線部分で、被疑者を確定するために最も有効だったと考えられるものは?
B社のメールサーバで記録されたメールクライアントソフトからのメールの受信要求ログ

今後、偽りメールにだまされないための対策

第三者によるメールの不正な閲覧への対策にもなるので、できれば取引先に「 S/MIME によるデジタル署名付き暗号メール 」を使ってもらいたいと思いますが、同意を得て準備する手間もかかります。偽メールに騙されないための対策のうち確実であり、かつ、すぐできるものとして、振込にかかわるメールのやり取りの際は、「 メールの内容について電話を掛けて確認する 」のがよいと考えます。そのためには「 振込に関する詐欺事例と振込時の注意事項を経理担当者に教育する 」ことも必要です。

振込依頼情報の作成前に、M 主任が自分一人の判断で取引口座マスタ中の B 社の口座情報を変更出来たという問題があります。

対策として、「 F 社会計システムの取引先口座マスタの登録及び変更のワークフローシステムを導入し、その申請権限と承認権限を分離する 」ことを進めます。振込依頼書の承認が省略できたという問題については、「 振込依頼情報を申請するワークフローシステムを F 社会計システムに導入し、かつ、振込依頼情報の申請権限と承認権限を分離する。

」ことを進めます。これによって、振込依頼書の書類を廃止でき、操作結果が社内システムに自動的に記録できるようにもなります。