logo

盗用ID回収から不正サイト閉鎖まで--三井住友銀行が採用のRSA新サービス

藤本京子(編集部)2009年10月14日 18時04分
  • このエントリーをはてなブックマークに追加

 RSAセキュリティは10月14日、「トロイの木馬」を利用したオンライン詐欺の被害を防止する「RSA FraudAction Anti-Trojan Service トロイの木馬対策サービス」の提供を開始した。すでに三井住友銀行が採用を決定している。

 トロイの木馬は、メールやウェブサイトを媒介にしてユーザーのPCに潜入し、インターネットバンキングなどで利用するIDやパスワードといったクレデンシャル(信用、識別)情報を搾取するマルウェア。搾取した情報は収集サイトなどを経由して実行犯に送信され、こうした情報を元に実行犯は金銭詐欺を実行する。

説明RSAセキュリティ マーケティング統括本部 本部長の宮園充氏

 RSAセキュリティ マーケティング統括本部 本部長の宮園充氏は、トロイの木馬について「従来はボットネットでのDoS攻撃などに利用されていたが、最近はID搾取を狙った金銭詐欺を目的とするものが顕著になってきた。2009年第2四半期にフィッシング対策の非営利団体APWG(Anti-Phishing Working Group)が約2000万台のコンピュータを調査した結果、54.6%に何らかの感染が確認され、そのうち5.2%は金銭搾取を狙ったトロイの木馬だった。この数字は2008年第4四半期と比較して186%の増加だ」と警告する。

 トロイの木馬は、潜入されることのないようユーザー自身がウイルス対策ソフトなどを利用するしかなかったが、サービス事業者がトロイの木馬対策サービスを採用すれば、「感染源サイトの検知や搾取情報の回収、不正サイトのシャットダウンといった対策が可能になる」と宮園氏は説明する。

 トロイの木馬対策サービスの具体的な内容は以下の通りだ。

  1. 識別、分析
    トロイの木馬の感染源となる感染元サイトから、トロイの木馬の検体を回収、分析する。また、IDなどのクレデンシャル情報が蓄積されている収集サイトや、トロイの木馬に感染したPCを外部から不正に操る指令サイトを特定する。

  2. ブロッキング
    感染元サイト、収集サイト、指令サイトの情報を、OSやブラウザ開発会社、セキュリティソフトベンダー、インターネットサービスプロバイダーなどで構成されるブロッキングパートナーに送付する。その情報を元に各パートナーは、ユーザーが既知の感染元にアクセスしないよう、ツールバーなどで警告を促すといった対策ができる。

  3. クレデンシャル情報や不正口座情報の抽出
    主に収集サイトにて保存されているクレデンシャル情報を抽出し、標的となった企業に提供する。これにより企業は、被害対象となったユーザーに通知したり口座の取引停止手続きを迅速に進めることができる。また、オンライン犯罪で不正送金先として利用される口座の情報を抽出した場合は、不正送金先へのトランザクションの監視や停止など適切な処置が取れるよう、トロイの木馬対策サービスを契約している全企業と情報を共有する。

  4. シャットダウン
    トロイの木馬に関連する感染元サイト、収集サイト、指令サイトなどの監視やシャットダウンを実行する。十分な監視のもとで必要情報の抽出を優先し、適切なタイミングで関連サイトの閉鎖作業を実施する。

  5. 対抗措置
    ダミーのクレデンシャル情報をおとりとして、意図的に収集サイトに送り込む。犯罪実行者がダミーを利用した時点で追跡が可能となる。

  6. レポート
    専用ポータルで提供するダッシュボード画面により、リアルタイムに対応状況や取得済みの情報が参照できる。

 トロイの木馬対策サービスの利用料は、最大100インシデントまでの場合年間1080万円から(税別)。初期セットアップ費用は別途必要となる。RSAセキュリティでは、2011年までに20社以上と契約することを目標としている。

-PR-企画特集