相手を確認するということ

相手を確認するということ

【統制基準】【実務基準】相手を確認するということ

今回はSSLの話です。ブラウザのURLがHTTPSになっていればいいんじゃないの?という方も、証明書がどういうものかご存じな方も、少々お付き合いください。

いわゆるインターネットバンキングの不正送金事例が多発した頃から、金融機関のサイトはSSL証明書を導入して、相手先確認をしてくださいと案内しています。

SSL証明書を確認するように案内している例:

スルガ銀行:https://www.surugabank.co.jp/surugabank/kojin/security/internet/ev_ssl.html

北洋銀行:https://www.hokuyobank.co.jp/security/ib/evssl.html

今回紹介するのは、trazorで検出された事例なのですが、「URLは正しいのに、証明書が検証されない」というものです。

[PSA] Phishing Alert: Fake Trezor Wallet website:https://blog.trezor.io/psa-phishing-alert-fake-trezor-wallet-website-3bcfdfc3eced

記事を見ると、間違いなく正しいURLなのですが、証明書が検証できず、「Not Secure」と表示されていることが分かります。この事象は、アドレスが正しいことから、DNSから改ざんされた応答が来る、DNSキャッシュポイズニングによるものと推測されますが、原因については明らかになっていません。

trazorによれば、3点を確認するように求めています(日本語訳は著者が行いました)。

  • アドレスバーにSecureの表示が出ていること、URLが正しいことを確認すること。
  • 信用すべきはデバイス(ウォレット)の表示であって、それ以外は十分に疑ってかかること。
  • プライベートデータは絶対に(それがtrazorの販売元であっても)漏らさないこと。デバイスだけがリカバリシードを求めて、それ以外は誰もリカバリシードを求めることはないこと。

そして、trazorは以下のようなアナウンスも出しています(日本語訳と、下線と太字は筆者が行いました)。

 

この事象の調査にあたってご協力いただいたみなさまに感謝すると共に、速やかに報告いただきましたことに、深く感謝申し上げます。(中略)

現時点では、偽サイトはホスティング事業者によって停止されておりますが、今後もこのような偽サイトへの警戒をお願い致します。今後、このような攻撃方法が使用される可能性があります。

 

FISC安全対策基準では、第8版追補改訂から、サイバー攻撃に対する基準が策定されました。第8版追補改訂では運用基準となっていましたが、第9版では、統制基準と実務基準に変更されています。細かな文言は変更されていますが、内容の大きな変更はありませんでした。

FISC安全対策基準は、金融機関のシステムに対する基準ではあるのですが、サイバー攻撃に関する基準については、特に利用者への周知や注意喚起を行うこと、という内容が目を引きます。そういえば、一時期、三菱東京UFJ銀行(当時)が、インターネットバンキングの不正送金が多いことから、サイトにかなり大々的に注意喚起を載せていましたね。

サイバー攻撃、というと、システム停止とか、サイトの改ざんといった、相手が金融機関が対象となる攻撃をイメージしやすいのですが、今回のtrazorの事例のように、利用者に対する攻撃というのは、金融機関が検知できないので、速やかに対応することは難しいかもしれません。この点については、サポートへの問い合わせからすぐに対応したtrazorは素晴らしいと思います。

FISC安全対策基準では、統制基準では金融機関に対する攻撃が行われることを主眼にしているようで、利用者に対する攻撃については実務基準で取り上げられています。どちらの基準にも、例示が多く掲載されています。

trazorの事例のように、問い合わせに対して速やかに対応できる態勢や、利用者に対する注意喚起については、実務基準に例示がありました。以下、下線+太字の部分が引用です。

  • 顧客に注意喚起すべき内容として、「金融機関等の正当なサイトであることの確認手段
  • 顧客からの問い合わせ内容として、「マニュアル等に記載されているものとは異なる画面が表示された場合の照会

FISC安全対策基準の書き方として、時代の流れに左右されない、汎用的な記載が多いのが特徴なのですが、サイバー攻撃についても、基本部分をおさえた書き方になっています。ただ、今後新しい攻撃が出てくるようなことがあれば、改訂されていくことになるのでしょう(とはいえ、他の基準にくらべて、かなり例示が多いので、今後の改訂作業も大変だと思います)。

仮想通貨を取り扱う場合は、このサイバー攻撃対応基準は、非常に大きなウエイトを占めることになります。金融機関の元帳のように「奥の間」にあるわけではなく、ウォレットそのものがインターネット上に存在しますから、サイバー攻撃への対応は死活問題です。FISC安全対策基準のサイバー攻撃基準に書かれているような例示だけで終わらせるのではなく、例えばハードウォレットの取扱いについてもサイトに掲載するといった、仮想通貨の特性に応じた対応が求められることになるでしょう。

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です