米国連邦財務省・通貨監督局(OCC)：銀行の詐欺的ウェブサイトから生じる脅威と対策通達

　
　筆者は、2005年8月18日(2010年10月8日更新)に米国FDICのファーミング対策通達について紹介した。今回は、同国の金融監督機関であるOCCが銀行のドメイン名が詐欺的に使われて個人金融取引情報が違法に漏洩されるといった犯罪行為への具体的対策ガイダンス通達の内容を仮訳で紹介する。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
連邦財務省通貨監督局（OCC）官報(OCC 2005-24)公示
国法銀行の監督機関たる通貨監督局（2005.7.1）発出

〔標題〕詐欺的な銀行のウェブサイトによる脅威と対策(Risk Mitigation and Response Guidance for Web Site Spoofing Incidents)

〔記載内容〕ウェブサイトへの詐欺事件によるリスクの軽減および対応に関するガイダンス

〔宛先〕全国法銀行(All National Bank)の連邦内支店、代理機関および技術提供業者の執行役員、部長および全検査役

〔目的〕
本公示の目的は、銀行がウェブサイトなりすまし詐欺（Web-site spoofing）犯罪にいかに対応するかについて対応に関するガイダンスの提供である。本公示は、銀行が以下の手続きを遵守することにより、ウェブサイトなりすまし詐欺の検知・対処により銀行自身ならびに顧客のリスク軽減につながることを意図するものである。また、その対応により犯罪形態についての情報を識別し、法執行機関による違法犯罪捜査に寄与することができる。なお、本公示は2003年11月12日付「OCC警告通達2003-11：顧客のなりすまし詐欺被害:電子メール関連詐欺の脅威について」の内容を拡充するものである。

〔背景〕
　　ウェブサイトなりすましは、本物ではないが少なくとも本物に見える詐欺的なウェブサイトを作り上げるものである。顧客は、典型的な場合「フィッシング」や「ファーミング」といった手段を介してこの詐欺サイトに誘導される。一度この詐欺サイトにつながると、顧客はインターネットバンキング取引における「ユーザー名」、「パスワード」、「クレジットカード情報（有効期限、カード番号）」、その他被害者の口座を詐欺的に利用したり、顧客の人格を盗取するいわゆる「人格なりすまし（Identity Theft）」を介した犯罪に関する各種情報の入力を強制させられることになる。このようななりすまし詐欺行為は、銀行を①戦略リスク、②オペレーショナル・リスクおよび③風評リスク、すなわち顧客のプライバシーを危険な状態に置き、また金融詐欺のリスクの下に置くことになる。
（訳者注）フィッシング、ファーミングについて詳しくは2005年8月18日(2010年10月8日更新)付け本ブログの情報を参照。

〔なりすましを狙った違法な手段〕
　銀行は本公示で論じる問題の識別や対応をとることでウェブサイトなりすまし詐欺のリスクを軽減することができる。また、本問題につき責任を有する任命された従業員が的確に対応し、また銀行が必要な対応についての教育を行うことで詐欺被害を最小化できる。さらに銀行がインターネットバンキング業務を外部委託している場合は、当該技術提供会社との契約においてこれら犯罪行為の調査・報告義務を契約書上明記することでなりすまし事件による被害阻止を意図し、一方そのようなサービス事業者の事故対応は銀行の内部手続きと相俟って統合的な効果が生む。

　銀行はなりすまし詐欺事件に先立って、連邦捜査局（FBI）や地域の法執行機関との接触を行うことにより、これらの手続きを効率よく遂行できる。これらの接触についてコンピュータ事故における調査にかかる的確な公的責任部署・担当者との接触を含む。
さらに、銀行はこれらの詐欺に伴う顧客のリスク削減のための教育プログラムを活用することができる。その教育内容とは、詐欺的な電子メールの使用やウェブサイトを利用したフィッシング攻撃を含むインターネットが絡む詐欺についてのウェブ上の警告情報や専門スタッフによる徹底が重要となる。また、ブラウザやOSの脆弱性を突く攻撃に対しては、銀行は顧客に対し安全なコンピュータの利用の実践を徹底する必要がある。

〔犯罪の検知と犯罪情報の集約〕
　銀行は銀行内部における適正な情報のモニタリングおよび銀行名や商標の違法あるいは権限外のインターネットの利用状況を調査する能力がある。以下の点はウェブなりすましが行われていることについての指標と考えられるリストである。

①銀行のメールサーバーに戻ってきた銀行のメールが本来銀行が発信したものでない場合である。一定の場合、これらのメールはなりすまし詐欺サイトとリンクを張っている。

②ウェブサーバーのログの検証は、銀行のウェブサイトのコピーや疑わしい行動を指し示す疑わしいウェブのアドレスを浮き出しうることになる。

③顧客からのコールセンターや銀行担当者への電話件数、消費者信用に関し疑わしい詐欺的な行動・メール件数の増加。

　銀行は企業名、銀行名に関してインターネットID(識別子)を検索することでなりすましを検知することができる。銀行は検索エンジンやその他の手段を使い、ウェブサイト、掲示板、ニュースコーナー、チャットコーナー、ニュースグループ、その他特定企業や銀行名を使ったフォーラムの内容をモニタリングできる。これらの調査によりウェブ名をなりすまし利用する前に銀行のドメイン名に似せたドメイン名の登録を発見することができる。また銀行は、内部のモニタリングの実行やモニタリングサービス事業者を使うことができる。

　銀行は、顧客や消費者に対しフィッシング報告や疑わしい行動についてウェブページへのリンクや電話連絡ができるよう奨励することができる。さらに潜在的にウェブサイトへの攻撃から生じる電話対応などの顧客対応専門の担当者を教育する必要がある。

〔情報の集約化〕
　銀行はなりすまし事件の発生の事実を決定した後、これら攻撃に対する適切な対応のための可能な各種情報を収集しなければならない。収集した情報は、なりすましサイトの遮断、顧客情報の漏洩の有無の確認、捜査機関の調査の支援に寄与する。以下の情報は銀行が収集する有用な情報のリストである。一定の場合に、銀行はこれらの情報取得のために情報技術の専門家またはサービスプロバイダーの協力を求めることがありうる。

①なりすまし詐欺犯罪の対象となることを認知した手段（例：ウェブサイト、ファックス、電話等の諸報告）。
②顧客が直接的にウェブサイトにつないだ電子メールやその他の形式の文書（例：電話、ファックス等）のコピー。
③IPアドレスに関係する企業の識別するためのなりすましにあったIPアドレス。
④ウェブサイトアドレスおよびなりすまされたサイトのドメイン登録情報。
⑤IPアドレスの地理的情報（州、市、郡）。

〔なりすまし事件への対応〕
　なりすまし事件への効率的な対応のため、銀行経営者は既存の組織かつ継続的な手続きをとる必要がある。これらの手続きは、顧客を保護するためになりすましサイトから得た識別情報の取得および引き続いての法執行機関による捜査を支援するための証拠保全を行うためウェブサイトに緊密な観点から設計されねばならない。

　銀行は詐欺サイトを無効とし、顧客の情報の回復のために以下のステップを取りうる。また、これらのステップの一部は法律専門家の支援を要するものである。

①違法ななりすましサイトを主催し責任を有しまた疑わしいサイトを遮断するため、書面による場合を含むISPとの適切な通知・連絡関係。
②ドメイン名登録事業者との適切な接触およびドメイン名を無効とするための要求措置。
③なりすましサイトの所有者を確認することおよび「1998年デジタルミレニアム著作権法」に従い顧客情報の復元のため、ISPに宛てた地方裁判所の書記官の召喚状（sabpoena）の確保。
④法執行機関との連携作業。
⑤なりすましを疑わせる活動についての既存の手続き。
　
　以下は、銀行がなりすましに対応してとるべきその他の行動および使用する法律文書である。

①銀行は、ドメイン名登録事業者に対し名前の不正使用または商標の迅速な削除を書面をもって通知すること。

②このような要請文書に効果がない場合、インターネットのドメイン名を登録した企業はドメイン名または商標権が違法に侵害されたとして紛争解決のために「統一ドメイン名紛争解決手続き（UDRP）」に入ることができる。

③この手続きにおいて、銀行はドメイン名登録事業者に対してなりすまし行為の停止を求めることが認められる。しかしながら、銀行はこのUDRPは極めて時間がかかることを念頭に入れておかねばならない。この手続きの詳細はICANN(訳者注)のサイトで詳しい。

④さらに救済策として「連邦ドメイン名占拠被害者保護法(Anti-Cybersquatting Consumer Protection Act：ACCPA）15 USC §1125(d)」 は、銀行が「連邦商標法：ランハム法（15 U.S.C 1125(d)）」43条(d)にもとづき直ちに行動をとることを認めている。特にACCPAは、紛争当事者間で類似性の証明がなくても緊急差止救済が得られることとしている。

〔連邦通貨監督局および法執行機関との接触〕
　仮に銀行がなりすましの標的にされたとき、迅速にOCCの監督部への通知およびFBIおよび州・地方自治体の法執行機関に事故報告を行なわねばならない。また、銀行はFBIと全米ホワイトカラー犯罪センターのパートナーである「インターネット詐欺センター」への苦情申請を行う必要がある。

　法執行機関はなりすまし詐欺攻撃に対し効率よく対応するため、その識別のために必要な情報を提供し、詐欺によるウェブサイトの遮断、攻撃についての責任を有する者の調査・逮捕を行うのである。前記〔情報の集約〕の項目で述べたことは、この必要性に合致する。

　さらに、銀行の監督部署や法執行機関への報告に加えてその他形式的な強制力は弱いものの、銀行はこれらに事件内容の報告や今後の詐欺行為の予防に資するため報告を行いうる。例えば、銀行は「デジタル・フィッシュネット」を利用することができる。この組織はなりすましを含むフィッシング詐欺関連犯罪の犯人逮捕を狙いとして組織されたもので、産業界や法執行機関が共同して取り組むためのものである。メンバーはISP、オンラインオークション業者、金融機関、金融サービス事業者からなる。またこれらのメンバーはFBI、連邦財務省シークレットサービス、連邦取引委員会（FTC）その他フィッシング関連犯罪に含まれる犯人の識別を支援する全米規模の電子犯罪の作業グループなどと緊密な連絡の下で機能している。

最後に、銀行は疑わしい電子メール情報につきFTCのスパム専用サイト（spam@uce.gov.）への提供をなしうる。
***********************************************************:
(訳者注)
ICANN (The Internet Corporation for Assigned Names and Numbers)は、 インターネットの各種資源を全世界的に調 整することを目的として、1998年10月に設立された民間の非営利法人(ICANN Japan Forumサイトから引用)

原典URL: http://www.occ.treas.gov/ftp/bulletin/2005-24.pdf

************************************************************

（今回のブログは2005年8月19日登録分の改訂版である)

***********************************************************************
　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010 芦田勝(Masaru Ashida )．　All Rights Reserved．No reduction or republication without permission．

連邦預金保険公社（FDIC）ファーミング攻撃に関するガイダンス

　フィッシングの亜種はファーミング・・その手口に要注意・・今回は米国の金融監督機関である連邦預金保険公社のガイダンスを紹介する。

「金融機関向け通知」

金融機関のファーミング攻撃の防御方法に関するガイダンス（仮訳）
米国邦預金保険公社（FDIC）　　　　　　　　　　        　　　　　　　                         　2005.7.18更新

　連邦預金保険公社（Federal Deposit Insurance Corporation）はこのほど「ファーミング（pharming）」によって引き起こされるリスクと当該リスクを緩和するための戦略について金融機関向けガイダンスを用意した。
ファーミングは、後に詐欺（fraud）やなりすまし（identity theft）に利用する個人情報を得るために偽のウェブサイトにつなげるため、インターネット・ドメイン名をリダイレクトする（出力先変更）違法行為である。
「フィッシング」と「ファーミング」の両者とも、偽のウェブサイトを使用して個人情報の入力を促す点は共通しているが、当該個人をどのようにも偽サイトの仕向けるかという言う点に相違がある。

フィッシング(Phishing)とはー
　個人の信用情報や金融取引情報など個人の機密情報をあたかも魚を釣るように、違法に入手したり使用する詐欺行為のことを包含する。典型的な例では、詐欺メールは消費者はまず金融機関、政府機関またはその他の機関から発せられたと思わせる個人信用情報または金融取引情報の入力を求めるe-mailを受信する。そのメールはしばしば消費者が直ちに説明内容に応じて応急手当としてサイトにリンクするクリック行為を行うよう指示する。そのリンクした先はあたかも金融機関、政府機関、その他の機関のウェブサイトのように見える。しかしながら、この「フィッシング詐欺」では公式のウェブサイトではなく偽のウェブサイトにリンクしている。この偽サイトにつながった以降、消費者は個人を特定する社会保障番号、口座番号、パスワードまたは母親の旧姓や生年月日など他の機密情報の入力を促される。消費者がこのような情報を入力した後、詐欺師は消費者の口座に違法にアクセスしたり、なりすまし策を練り始める。

ファーミング(Pharming)とはー
　技術的な手段によって個人を違法なウェブサイト（illegitimate Web）にリダイレクトさせる行為のことである。たとえば、周期的にインターネットバンキングを利用する顧客は正規の銀行のウェブサイトではない違法なウェブサイトにリダイレクトさせられるかも知れない。

ファーミングは次の4つの異なる方法で行われる。
①静学的（static）なドメイン名詐欺(Static domain name spoofing:)
　ファーミング詐欺師（個人または組織）はユーザーがうっかりした入力ミスにより詐欺師のウェブサイト名を入力するように坂ける。例えば、詐欺師はユーザーが「anybank.com」と入力するつもりなのに「anybnk.com」と入力させる場合などである。

②悪意のあるソフトウェアー（Malware）の利用
消費者のパソコン上にコンピュータウイルスとトロイ人（機密データを得るため潜在的な悪意あるコード(code)や機器を使用して、正当な入力要求を妨げる、例えば、消費者がanybank.comの閲覧要求をしたときに、詐欺師があらかじめ設定した偽サイトにリダイレクトさせるものである。

③ドメイン・ハイジャッキング(Domain hijacking)
ハッカーは金融機関等の正規のウェブサイトへの情報を違法サイトにリダイレクトするかまたはハイジャックすることもある。一般的に次の2つの方法でドメイン名をハイジャックする。
Ａ．ドメイン・スラミング(Domain slamming)（ドメイン転送要求を出すことにより、顧客の了承なしにドメイン登録機関を他社に変えること）新しい登録機関の口座保有者は、異なる違法なサーバーに向けたルーティング指示の変更が可能となる。
Ｂ．ドメインのリース期間満了の放置(Domain expiration)
ドメイン名は一定期間リース契約で行われる。適切なリース手続きを管理しない場合、正当なドメイン名の所有権移転を招くことになる。満了した場合、権利がなくなったドメイン名を回復するために、商号法（trade　name law）にもとづく回復手続きをとることが必要である。

④DNS（ドメイン名サーバー）中毒(DNS poisoning)
　最も危険なものである。DNSはインターネットロードマップガイドと類似のものである。
　ある個人が自分が利用するブラウザに「www.anybank.com」を入力したとき、インターネットドメインサーバーは「www.anybank.com」をインターネットプロトコル・アドレス（ルーティングの方向を指示する）に変換する。DNSサーバーがこのアドレス情報を提供した後にユーザーの接続要求は「anybank.com」に転送される。要求された以外の情報をウェブサイトに送信するためにローカルDNSサーバーに「毒を盛る」ことができる。この中毒はローカルサーバーにインストールされた不適正なシステム、ネットワークの脆弱性、または破壊ソフト（Malware）によっておこされる。
　インターネット全体で13の基幹DNSサーバーがあり、厳重に保護、制御されている。違法情報が基幹DNSに達する前に詐欺師はローカルサーバーを使うことが可能であり、ハッカーがこのような行為を行った場合、インターネットは厳しい感染にさらされることになる。

ファーミングの検出と防止対策(DNS poisoning)
　消費者と企業は、ファーミング攻撃に対処するため次のような方法をとることができる。
①デジタル証明書（Digital certificates）
正当なウェブサーバーはデジタル証明書を使うことで違法なサイトと識別することができる。証明書認証を使うウェブサイトは偽造することがさらに困難である。消費者はサイトが信用できるかどうかを決めるにあたり、そのツールとして証明書を使うことができる。

②ドメイン名の管理
金融機関はドメイン名が直ちに更新されることを確実にするため、こまめにドメイン名を管理する必要がある。行政機関も類似のドメイン名が登録される可能性についてと調査すべきである。さらに多くの登録機関が権限のないドメインがスラミングされないようドメインロック（注）を提供する。さらにドメイン名の管理に情報は問題のあるドメイン名管理や最も優れた実践についての銀行のリスクに関する「銀行の技術に関する告示（Bank Technology Bulletin）」を含むFIL-77-2000―を参照。

③DNS中毒
金融機関は、DNS中毒攻撃から即座に守るため自社のウェブサイトの周辺を調査する必要がある。例えば、Anybankのドメインがハイジャックされたらインターネット経由の要求受信は停止する必要がある。インターネット経由のトラフィックの低下はAnybankの技術要員に連絡し、警告のうえ調査すべきである。

④消費者教育
金融機関は、コンピュータの感染力を減少させるため、インターネットバンキングの利用顧客にウイルス検出ソフト、ファイアーウォール、スパイウェアなどスキャニングツールの最新版の使用を勧奨すべきであるとともに、新たな脅威と戦うために定期的にこれらにツールのアップデートの重要性を強調すべきである。
金融機関は、偽サイトにかわり十分に信じうるに足るサイトにいつ接続しているかを知りうるよう教育すべきである。

結論
　金融機関のドメイン名は、保護されるべき重要で貴重な金融機関の財産である。ドメイン名が誤用されたり別の方法でリダイレクトされることは、金融機関とインターネットバンキングの顧客はデータと金融面の損失を負うことになる。金融機関のドメイン名を常にモニタリング・保護して、情報セキュリティの一部として定期的にアップデートすべきである。
********************************************************
（注）ドメイン・ロックの解除
　一般的にドメイン名を移行する場合、その企業はドメイン登録機関のウェブサイトでそのことを要求する。そして、意図的または無意識に要求した人に移行される。ドメイン名がルックされるとその要求は自動的にロックされる。ドメイン名の利用企業が名前を移したいのであれば、その進行の前にドメイン名のロックを解除しなければならない。解説例

（参照URL）http://www.fdic.gov/news/news/financial/2005/fil6405.html

********************************************************

(今回のブログは2005年8月18日登録分の改訂版である)

***************************************************************
　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010 芦田勝(Masaru Ashida ) All Rights Reserved．No reduction or republication without permission．

連邦預金保険公社(FDIC)のスパイウェア対策ガイダンス

　Last Updated:April 30.2024

　米国連邦預金保険公社(FDIC)は2005年7月22日に次の金融機関向けにスパイウェアのリスク軽減対策のガイダンス(Spyware Guidance on Mitigating Risks From Spyware)を発した。わが国の金融庁等も同様の警告を発しているが、金融機関から見た場合、補足資料など具体性に差がある。

　このような専門知識を顧客にどのように説明しているのか、IT先進国の消費者のレベルは実際どのようなものなのか、また金融機関の顧客向け啓蒙活動の内容とは、FDICに直接確認してみたい。

Ⅰ.　FDICスパイウェアのリスク軽減対策のガイダンスの仮訳

緊急リリース
PR-68-2005(7-22-2005)
広報担当者
　　　　 　 　　デビッド・バー（David Barr）(202)896-6992

　連邦預金保険公社（Federal Deposit Insurance Corporation：FDIC）は、本日、スパイウェアすなわち個人情報または組織の機密情報をあらか,,じめの認識またはインフォームド・コンセントなしに収集または第三者に通知するソフトウェア被害が拡大する危機をいかに予防するかという点に関する金融機関向けガイダンスを公表した。FDICの監督・消費者保護部長であるミハエル・J・ザムロスキー(Michael　J.Zamorski）は、スパイウェアにより収集された情報は銀行のシステムそのものを危うくしたり「なりすまし（identity theft）犯罪」に使用されるものであり、銀行がこの悪意に満ちたソフトウェアに含まれる各種リスクを放置したままでいることは批判されねばならないし、また自らの顧客が被害に遭わないよう適切な行動をとらねばならないと述べている。

　本日出されたガイダンスは、金融機関にスパイウェアに関するリスクを通知するとともに金融機関が内部コンピュータや銀行のウェブサイトにつながる顧客のコンピュータにかかるリスクの軽減を行うための具体的な行動を勧告するものである。

　金融機関（商業銀行、貯蓄金融機関）向け通知文（FIL-66-2005）
「スパイウェアからのリスク軽減に関するガイダンス」

〔要旨〕FDICは金融機関向けに自行のリスク・プロファイルにもとづく効果的なスパイウェアの防止と検出に関する付属ガイダンスを公布している。本ガイダンスおよび別添情報資料では、銀行と消費者の双方にとってスパイウェアに関するリスクを論じ、これらのリスク軽減のための具体的軽減策を勧告している。

〔内容〕
１．はじめに
　「スパイウェア」の用語は、本人が知らない間にユーザーの情報を収集したり第三者に個人情報を提供することを意味する。ある種のスパイウェアは暗証番号、クレジットカード番号、その他機微性・機密性の高い組織や個人の情報を傍受するものである。金融機関はこれに対抗するため情報セキュリティプログラムと顧客の啓蒙用プログラムのアンチスパイウェア戦略を考慮しなければならない。

２．スパイウェアによる各種リスク
　スパイウェアは、次の点において金融機関のリスクを増加させる。
①顧客のID番号やパスワードといった機密情報の内容を盗み聞き、あるいは傍受することで取引の機密性を危うくする。
②金融機関の潜在的に顧客の口座に対する権限外のアクセスを可能とすることで金融機関の評判を害する。
③銀行の各種資源の悪用や銀行のシステムへの無権限アクセスを可能とする。
④フィッシングやファーミングといったインターネットを経由した他の攻撃のリスクを増加させる。

３．スパイウェアから生じるリスクを軽減するための勧められる具体的な行動
　以下の情報セキュリティプログラムを強化しなければならない。

①金融機関における「リスクアセスメント」の一環としてスパイウェアの脅威を考慮すること。
②スパイウェアと関連するリスクならびに顧客に対し許容しがたい範囲（ダウンロードの禁止や適切でないウェブサイトの閲覧など）を意図したセキュリティ対策とインターネットの安全な使用に関する方針を強化する。管理者はこれらの方針を従業員に徹底することならびに適切に従わない者に対し譴責（けんせき）処分を行うこと。
③顧客に対し、スパイウェアに関するリスクの教育と顧客自身が自らスパイウェアーの侵入の防御・検出を可能とする手立てについて奨励すること。さらに、ホテル、図書館、インターネットカフェーといった公共の場でのコンピュータの利用リスクを周知すること。
④多要素認証方式（multi-factor authentication methods：これは顧客の口座番号、パスワード、口座番号等が盗取されるリスクを減少させるものである）の調査研究を行うこと。

補足資料「スパイウェアの防止と検出に関する最善の実践手段」
１．スパイウェア感染
　通常、スパイウェアはユーザーの知識や許可なしにインストールされる。また、ある場合にはユーザーは自らの行為の結果についての悪影響を完全に理解せずに意識的にインストールすることもある。ユーザ－はしばしば情報の収集範囲や方法が不明確な「エンドユーザー使用許諾契約（EULA）」の受け入れを求められる。

　以下の方法はスパイウェアがインストールされる具体的な方法である。
①実際「一括販売（boundling）」といったすべての使用許諾契約がポップアップウィンドウに含まれていて、よほど注意して読まないと無意識に一括販売によりスパイウェアをインストールてしまう。
②技術面でメリットが得られると称してユーザーがダウンロードしてしまう場合である。いくつかのスパイウェアは生産性、ウイルススキャン能力、その他のメリットが得られると強調される。
③インターネットの閲覧技術を介したインストールの方法として「自動ダウンロード」がある。この技術はユーザーがウェブサイトを閲覧しただけでインストールされてしまう。
④ユーザーが迷惑メール（spam）を開いたり閲覧しただけで自動的にスパイウェアがダウンロードされる。

２．スパイウェアに関する対応の難しさ
　スパイウェアは検出や削除がむずかいしいが、その理由は次の点にある。

①常に在起動中のソフトでありながら、ウインドウズのタスクマネージャーに表示されない。
②「削除・追加ソフト」の中のオプションに含まれない。仮にオプションに含まれている場合でも、削除手続きがすべての要部品を完全に取り除くことにはならない、あるいは削除を完全なものとすると称してユーザーを再度インターネットサイトにつなげることもある。このことは時としてスパイウェアの削除により追加や新たな感染をもたらす。
③１つのスパイウェアーのインストールがユーザーのパソコンなどに他のスパイウェアのインストールを引き起こすことがある。

３．金融機関におけるスパイウェアによるリスクの増強
①セキュリティの脆弱性やセッティングを不当に利用したり、セキュリティレベルを緩和する目的からコンピュータの機器構成の変更、または金融機関のファイアーウォールを回避するための通信経路を作ることになる。その結果は、攻撃者はキーストローク、eメール、インターネットを介した情報伝達のモニタリングを通じて機密情報の盗み見や傍受が可能となる。
②攻撃者に金融機関のコンピュータにスパムメールや悪意あるソフト（malware）を送ったり、他の機関に対してドス（DoS）攻撃を行うため自行のコンピュータに対する制御能力を与える。
③違法なスパイウェアを取り外す結果、インターネット接続の中断により銀行業務の遂行を危うくする。
④企業のemailの口座にスパム事件を引き起こす。
⑤機密性を危うくする：ある種のスパイウェアは時としてユーザーは知らない間に自身のサーバーを介してインターネットコミュニケーションの通信を行う。このことはSSLやその他の暗号化技術が使用されているときでも第三者は機密情報を閲覧できる。その他の形式のスパイウェアでは、インターネットの通信内容のモニタリングと記録を行い、そのレポートをハッカーに送信する。このように、なりすまし詐欺者は集めたID番号やパスワードを使用して顧客になりすますのである。
⑥ある種のスパイウェアは、インターネットのページ要求を変更することができるのでフィッシングやファーミング攻撃といった脆弱性を増すことができる。
　

４．スパイウェアに関するリスク緩和のための勧められるべき行動
　金融機関は次の施策をとることによりリスクの評価を行うとともにリスクの軽減に取り組む必要がある。
①ユーザーによるソフトウェアのダウンロードを一定の範囲で制限するが、金融機関による事前承認制はとるべきでない。

②ウェブサイトが新たなソフトウェアを自動ダウンロードすることを避けため、ウウインドウズの設定において「active X control」を無効にする（訳者注：具体的な手順については最後に注記した九州大学の牧之内研究室を参照）。これは、通常のブラウジングにおいてスパイウェアがインストールされることを防ぐ。

③ユーザーが使用しているOSやアプリケーションソフトについて最新の修正パッチ（訳者注：セキュリティパッチとは、ソフトウェアに脆弱性（セキュリティホール）が発見されたときに穴をふさぐという意味。一般的にソフトウェアメーカーやベンダーのホームページから無料でダウンロードできる。Windows Update 等）で常にメンテナンスする。

④アンチウィルスやスパム、スパイウェア用ソフトの最新版をインストールする。

⑤金融機関内、対外接続のおける通信内容をモニタリングするためファイアーウォールを設定する。できれば、通常のビジネスに不要な送信内容（仕事に関係ない従業員のインスタントメッセージへのアクセスなど）は外部用ポート（訳者注：インターネットとコンピュータの間を行き来するデータは、そのコンピュータのシステムがインターネット通信のために用意する 「 ポート 」という出入口を必ず経由する。 ポートは、0～65535の番号で識別され、原則として通信する内容や用途に応じて使うものを自由に決められる。）でブロックする。

⑥ポップアップウィンドウズ（訳者注：ポップアップウィンドウとは、ユーザーがリンクをクリックした際に、そのリンク先が新しい（別の）ウィンドウによって開くことで、そのコンテンツは注意を促すような簡単な内容から、外部リンクまで、様々である。）を制限するかまたはそれを防止するためのツールを実装する。

⑦新たなスパイウェアの脅威と阻止手段が出現したとき、金融機関として適応するための日頃の問題認識を強化しておく。

⑧定期的に信頼されるルート認証機関による証明書のチェックを行う。ある種のスパイウェアは安全なインターネット通信を阻止し、悪質なコード（malicious code）を実行するため信頼されるルート認証証明書（trusted root certificates（注））を用いることがある。これらの証明書の正当性について研究した後に、金融機関はスパイウェアによってインストールされたものを排除することができる。

（注）「trusted root certificates」とはSSLというプロトコルを通じて、インターネット上で安全に個人情報を伝達するものである。この証明書は信頼できる機関により個人または組織を識別する電子的確認方法である。
⑨大量の顧客が同じインターネットのアドレスを使ってウェブサイトにアクセスしているか否かを判断するため、ファイアーウォール用ログの分析が必要である。このことにより、このようなアドレスを使ってインターネットバンキング・サイトへの遮断を意図するものかをチェックすることができる。

５．金融機関がスパイウェアの防止につき顧客に勧めるべき行動
　顧客は次の行動により、スパイウェアの防止と検出が可能となる。
①定期的にアンチスパイウェアをインストールし、ウィルス被害の防止とソフトウェアを更新する。

②ウェブサイトが自動的に新しいプログラムのインストールやActive X コントロールを行うことを防ぐようブラウザの設定を調整する。

③エンドユーザー用使用許諾契約書の内容を注意深く読むこと、内容が十分理解できない場合はインストールを避けること。

④OSとブラウザについて常にパッチ作業を行うなどメンテナンスすること。

スパイウェアのリスク・対策についてやさしく説明しているサイト例。
https://eset-info.canon-its.jp/malware_info/special/detail/220726.html
https://www.fielding.co.jp/service/security/measures/column/column-12/

また、以下が「Windows のセキュリティ設定」について詳細に解説している。筆者も安易に購入時のまま設定を放置している点を反省させられた。

https://jp.ext.hp.com/techdevice/windows10sc/15/

https://solution.fielding.co.jp/column/it/itcol04/201907_06/

６．スパイウェアに関するリスク緩和のための勧められるべき行動
　金融機関は次の施策をとることによりリスクの評価を行うとともにリスクの軽減に取り組む必要がある。
①ユーザーによるソフトウェアのダウンロードを一定の範囲で制限するが、金融機関による事前承認制はとるべきでない。

②ウェブサイトが新たなソフトウェアを自動ダウンロードすることを避けため、ウウインドウズの設定において「active X control」を無効にする（訳者注：具体的な手順については最後に注記した九州大学の牧之内研究室を参照）。これは、通常のブラウジングにおいてスパイウェアがインストールされることを防ぐ。

③ユーザーが使用しているOSやアプリケーションソフトについて最新の修正パッチ（訳者注：セキュリティパッチとは、ソフトウェアに脆弱性（セキュリティホール）が発見されたときに穴をふさぐという意味。一般的にソフトウェアメーカーやベンダーのホームページから無料でダウンロードできる。Windows Update 等）で常にメンテナンスする。

④アンチウィルスやスパム、スパイウェア用ソフトの最新版をインストールする。

⑤金融機関内、対外接続のおける通信内容をモニタリングするためファイアーウォールを設定する。できれば、通常のビジネスに不要な送信内容（仕事に関係ない従業員のインスタントメッセージへのアクセスなど）は外部用ポート（訳者注：インターネットとコンピュータの間を行き来するデータは、そのコンピュータのシステムがインターネット通信のために用意する 「 ポート 」という出入口を必ず経由する。 ポートは、0～65535の番号で識別され、原則として通信する内容や用途に応じて使うものを自由に決められる。）でブロックする。

⑥ポップアップウィンドウズ（訳者注：ポップアップウィンドウとは、ユーザーがリンクをクリックした際に、そのリンク先が新しい（別の）ウィンドウによって開くことで、そのコンテンツは注意を促すような簡単な内容から、外部リンクまで、様々である。）を制限するかまたはそれを防止するためのツールを実装する。

⑦新たなスパイウェアの脅威と阻止手段が出現したとき、金融機関として適応するための日頃の問題認識を強化しておく。

⑧定期的に信頼されるルート認証機関による証明書のチェックを行う。ある種のスパイウェアは安全なインターネット通信を阻止し、悪質なコード（malicious code）を実行するため信頼されるルート認証証明書（trusted root certificates（注））を用いることがある。これらの証明書の正当性について研究した後に、金融機関はスパイウェアによってインストールされたものを排除することができる。

（注）「trusted root certificates」とはSSLというプロトコルを通じて、インターネット上で安全に個人情報を伝達するものである。この証明書は信頼できる機関により個人または組織を識別する電子的確認方法である。
⑨大量の顧客が同じインターネットのアドレスを使ってウェブサイトにアクセスしているか否かを判断するため、ファイアーウォール用ログの分析が必要である。このことにより、このようなアドレスを使ってインターネットバンキング・サイトへの遮断を意図するものかをチェックすることができる。

7．金融機関がスパイウェアの防止につき顧客に勧めるべき行動
　顧客は次の行動により、スパイウェアの防止と検出が可能となる。
①定期的にアンチスパイウェアをインストールし、ウィルス被害の防止とソフトウェアを更新する。

②ウェブサイトが自動的に新しいプログラムのインストールやActive X コントロールを行うことを防ぐようブラウザの設定を調整する。

③エンドユーザー用使用許諾契約書の内容を注意深く読むこと、内容が十分理解できない場合はインストールを避けること。

④OSとブラウザについて常にパッチ作業を行うなどメンテナンスすること。

 また、ESETサイトが「Windows のセキュリティ設定」について詳細に解説している。筆者も安易に購入時のまま設定を放置している点を反省させられた。

****************************************************************

（今回のブログは2005年8月24日登録分の改訂版である)

**********************************************************************
　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010 星野英二．　All Rights Reserved．No reduction or republication without permission．