SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

銀行内でスマートフォンを使用させるリスクとは

この記事をシェア

銀行でスマートフォンを使うことは、どこでも当たり前となっており、それ自体がとがめられることはない。だが、例えば、銀行員間で利用されているクローズドのWi-Fiネットワークに無断でアクセスしたり、行内のセキュリティ状態を撮影したりといったことは起こらないのだろうか。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

銀行内でスマートフォンを使用させるリスクとは

これまで「Welivesecurity」の読者から編集部へ、不安や興味に基づく疑問や話題が何度も繰り返し提起されてきた。最近あるTwitterのユーザーから、そうした話題の一つがもたらされた。銀行でスマートフォンをセキュリティガードを無視して使用する際のリスクについて、議論したことがあるかどうか、というものである。

これは非常に興味深い質問であり、銀行だけではなく、企業のネットワークや無線環境のあり方にも応用できるものである。そこで以下では、この問題について少し掘り下げたい。

企業のWi-Fiネットワーク

質問者が示したそのシナリオを見ると、銀行において内部ネットワークにアクセスするために攻撃者が用いる、ある興味深い戦術のことが思い出される。

テレビドラマシリーズの「ミスター・ロボット」のエリオットのような人物になったつもり、つまり、自分自身が攻撃者になったつもりになってみると、最初に試みることは、銀行のWi-Fiネットワークに接続できるかどうかを確認してみることだ。

一般的に、接続可能な範囲には多くのネットワークを見つけることができる。だが、ほとんどの場合、少なくともネットワークの1つは銀行だけ、あるいは従業員だけがアクセスできるようになっているはずである。

最近では、ネットワークに接続する際のパスワードを設定していない例を見ることも減ってきた。また、すでに陳腐化したWEPのような暗号システムを使っている例を見ることもなくなってきた。すでに、ほとんどのWi-FiがWPA2か、あるいはより優れた暗号化技術を使用するようになっている。

こうした状況の中で、銀行の「ゲストネットワーク」(一時的な訪問者に対して接続を提供するネットワーク)が正しく設定されていない場合がある。したがって、攻撃者が内部ネットワークへの接続に成功する可能性がまだ残されている。とはいえ、この企業ネットワークにスマートフォンからアクセスできる機会は、めったなことでは訪れない。

ゲストネットワークの設定以外にも、正しくセグメント化が行われていない場合、あるいは代替的な攻撃方法を探すことによって、攻撃者は侵入に成功するかもしれない。

もしもネットワークがはっきりと分離されていないのであれば、攻撃者はその企業・組織の重要なシステムに潜入も可能だろう。そして、堅牢なセキュリティ対策を行っているかどうか、不正活動を実行できてしまうかどうかを確認できるであろう(本当に接続するかどうかは攻撃者次第である)。

したがって、銀行のWi-Fiネットワークにスマートフォンから接続して攻撃を行う可能性は、どのような対策を銀行が行っているかに大きく依存している。

銀行がWi-Fiのアクセスポイントを持っているかどうかを繰り返し何度も確認してきた経験があれば、このセキュリティは、堅牢である傾向にあることが分かる。しかし、以下で見るように、スマートフォンや別のデバイスを用いた別の攻撃方法もある。

攻撃対象の環境の情報収集

攻撃者は、Wi-Fiネットワークを通じてできることがないと分かると、スマートフォンをおそらく別の目的で使用するだろう。単純だが、情報を集めるのに非常に便利な方法としては、スマートフォンのカメラを使用することが挙げられる。攻撃者にとって興味深いものを写真やビデオに収めておけるからである。

従業員がどのようなソフトウェアを使っているのか、顧客にサービスを行う際にどのポートが従業員のパソコンによって使われているのか、どのようなネットワークの差し込み口が使われているのか、個人認証カードはどういった仕組みのものか、あるいはどのようにセキュリティガードがシフトを変えているのかを撮影することは、将来の攻撃を計画する人物にとっては、非常に有益なものになり得る。

さらに言えば、デバイスがNFC(ソニーを中心に策定された近距離無線通信規格の一つ)を搭載していれば、攻撃者は試しに、スタッフIDのデータを取得しようとするかもしれない。もしもうまくいけば、従業員だけの利用に制限されているエリアに侵入できるかもしれないからだ。実際に侵入するのは、過去に誰も試していないわけではない。

より専門的なデバイスについて言えば、偽物のアクセスポイントをつくり出し従業員にアクセスを試みさせる「Wi-Fiパイナップル」がある。これを用いて接続を監視し、銀行の内部システムにアクセスするパスワードを取得してしまうかもしれない。

もしくは、攻撃者は顧客を偽装して従業員に接近し、注意の薄れた機会を狙ってくるかもしれない。従業員のコンピューターにUSBポートがあれば、できる限りの情報を盗み出すコマンドを実行する「ラバーダッキー」を差し込むこともできる。

あるいは、「レディーメードペイロード」のようなツールや自作のツールで、攻撃者があらかじめ設定したオンラインアーカイブから不正コードを従業員のコンピューターにダウンロードさせることもできる。

遠隔攻撃

上記で説明した手法は攻撃者に一つ、大きなハードルがある。攻撃したい店舗を直接、誰かが訪問しなければならないのである。セキュリティカメラがあり、攻撃を発見された際に、録画されたビデオが分析の対象になるかもしれない。そのために、企業ネットワークや銀行への攻撃は、遠隔で行われる傾向にある。

過去数カ月のうちに発見された幾つかの事例を取り上げよう。ロシアの銀行を狙った攻撃は、1通のメールから始まった。そのメールは、銀行の従業員を狙ったもので、とても念入りに準備されていたものだ。見るからに危なげなさそうなWordの文書が、実際には不正なマクロのコードを含んでおり、攻撃者が管理する別の攻撃用のモジュールをダウンロードさせる外部サーバーへ接続させるものだった。そして、感染したシステムや企業ネットワークを制御したりスパイ活動をするために使われることになった。

別の事例では、20ものポーランドの銀行に感染したものがある。攻撃者は、従業員が気付かないうちにマルウェアに感染してしまうように、ポーランドの金融当局のオフィシャルサイトへの侵害を活用していたのだ。

結論

以上が、質問をしてきたユーザーに対する、銀行におけるスマートフォンの利用についての短い回答である。お分かりの通りこのリスクは、実際に施されているセキュリティ対策の状態に大きく依存する。特に、ネットワークセキュリティやセグメンテーションが重要である。

攻撃の主要ツールとしてスマートフォンを活用することが頻繁に起こり得るのかどうかという質問については、めったなことでは起こり得ないが、かといって完全に排除し切れるわけではない。なぜならばサイバー犯罪者は、遠隔から銀行を攻撃し、自身を危険にさらすことなく、より大きな利益を得られることを知っているからである。そしてこの傾向がすぐに変わるということはあり得ないのである。

この記事をシェア

スマートフォンのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!