サイバー犯罪、次の「いたちごっこ」への備えを――米RSAが提言：マルチチャネルがターゲットに？

　「攻撃と対策はいたちごっこ」と言われる。オンラインバンクやクレジットカード情報を狙うサイバー犯罪の分野では特にそれが顕著だ。

　米EMCのRSA事業本部 FRI（Fraud and Risk Intelligence）事業部門のバイスプレジデントを務めるウィリアム・スタプルトン氏は、2015年5月22日に開催した説明会で、「サイバー犯罪者らは今後も、金融機関やセキュリティベンダー、政府関係組織が対策を講じるよりも素早く動き、イノベーションを続けるだろう」と予測。この動きに対抗するため、競合する企業や組織同士も含めて情報共有を推進していく必要があると述べた。

米EMCのRSA事業本部 FRI（Fraud and Risk Intelligence）事業部門 バイスプレジデント ウィリアム・スタプルトン氏

　オンラインバンクやECサイトは長年、サイバー犯罪にさらされてきた。被害を防ぐべく、IDとパスワードの組み合わせによる認証に加え、デバイス認証やワンタイムパスワードといった対策が講じられてきたが、巧妙なフィッシングサイトやHTMLインジェクション、あるいはMan in the Middle（MITM）やMan in the Browser（MITB）といった攻撃手法が横行し、こうした対策は必ずしも有効とは限らなくなっている。

　スタプルトン氏は、「従来の単一のソリューションによる境界防御は今やあまり意味をなさない。あらゆるコンシューマーが侵害を受けている可能性があるという前提に立ち、かつユーザーの利便性とのバランスを考慮しながら対策に取り組む必要がある」と述べた。

　この対策の一つとして同社が提供しているのが、Web上の振る舞いをセッション全体を通して監視する「RSA Web Threat Detection」だ。同製品は、ログイン後もセッションを監視し、正規のユーザーが行うとは思えない不審な処理を見つけ出すものだ。

　米国の金融機関でも導入されており、「短時間のうちに単一のIPアドレスから何千もの新規口座登録リクエストが送られた」「チェックの甘い100ドル以下の小額送金処理の承認を得た後、金額を変更して送金を行った」といった不正な処理を検出した実績があるという。こうしたモニタリングシステムに、リスクベースの認証を組み合わせるなど、多層的な取り組みが必要だとスタプルトン氏は述べた。

　とはいえわれわれが対策を施せば、攻撃者はおそらくまた別の守りの弱い部分を見つけ出し、狙ってくるだろう。そもそも、現在のオンライン取引を狙ったサイバー犯罪の増加の背景には、磁気カードに代わって、ICチップを用いたEMV仕様のクレジットカードが普及している事実があると見られる。EMV準拠のICカードが増えるにつれて対面販売での不正が困難になったことから、犯罪者はオンラインをはじめとする非対面取引を狙う攻撃にシフトしている、と見ることができるのだ。

　スタプルトン氏はこれを踏まえ、サイバー犯罪のターゲットはオンライン取引に加え、モバイルやPOS、ATMといったマルチチャネルに広がるのではないかと懸念している。RSAではこうした動きに備え、マルチチャネルにまたがりビヘイビアを分析できる仕組みに投資していくとした。

　もう一つ重要なのは情報共有だ。「サイバー犯罪者側はビッグデータを活用している。それも、複数のソーシャルネットワークサービスから得られる情報などもひも付けて、アイデンティティに関するナレッジベースを構築している」とスタプルトン氏。守る側としてもエコシステムの構築に向け、いわゆる「スレット・インテリジェンス」を競合の壁を越えて開放し、ISAC（Information Sharing and Analysis）などの組織を介して情報共有を進めていくべきだと述べている。