« 財務報告に係る内部統制 海外展開 | Main | SAS70、監査基準委員会報告書第18号 »

2006.08.17

フィッシング進化論 日本銀行 インターネットバンキングの安全性を巡る現状と課題

 こんにちは、丸山満彦です。日本銀行の日銀レビューに「インターネットバンキングの安全性を巡る現状と課題」があります。論点が比較的まとまっています。進化するフィッシングの話があります。

 
【日本銀行】
日銀レビュー・シリーズ
●2006.07.16 06-J-14 インターネットバンキングの安全性を巡る現状と課題
PDF


【【図表3】進化するフィッシング】
・スパイウェア(PC上で操作履歴を取得
・フィッシング(偽メールや偽Webサイト)
・スピアフィッシング(ターゲットを絞った攻撃)
・ファーミング(DNSやhostsファイルの改竄)
・双子の悪魔、不正中継(無線LANアクセスポイント、不正PROXY)
・トロイの木馬(PCハイジャック)(勝手に取引指図、犯人がリモートアクセスで指示)

日本は、ファーミング段階
米国は、トロイの木馬段階

だそうです。

ファーミング段階までは「本人認証強化が比較的有効」ですが、トロイの木馬段階では、「不正取引監視が比較的有効」となるそうです。

|

« 財務報告に係る内部統制 海外展開 | Main | SAS70、監査基準委員会報告書第18号 »

Comments

丸山 様

夏井です。

フィッシングの手法が進化しているようですけど,被害にあう側の心理を検討してみると,何の進歩もないですね。一時的に話題になると警戒するけれどすぐに忘れてしまいます。だから,類似犯行が成立する余地もあると言えそうです。

この問題は,「人間」という存在の本質に根ざすものなので,情報技術によってカバーすることができません。もちろん,形式的なセキュリティ教育をやってみても無駄とは言いませんけどほとんど効果を期待することができないだろうと思います。

ほんと困ったものです・・・

他方,フィッシングを含む詐欺行為のために用いられるメールアドレスやIPなどの中には実在するものがありますね。偽装のために用いられることもあり,そうでない場合もあるんですけど,それら偽装や犯罪に用いられたメールアドレスやIPなどを一律・無限定に制限してしまうと,本来のユーザやサーバなどが利用不可能となることもあり得ます。

この後者の問題には何年か前から私も気付いていましたけど,実際に実害が発生しつつあるようなので,大至急検討を要する問題だと思いました。

以上のような問題は,個別に解決すべき部分もあります。

しかし,もっと抜本的なところで何か考えないといけない時期に来ていると思います。

目下手がけている仕事を遂行しながら,そのような感を深めています。

Posted by: 夏井高人 | 2006.08.18 19:12

夏井先生、コメントありがとうございます。

=====
この問題は,「人間」という存在の本質に根ざすものなので,情報技術によってカバーすることができません。もちろん,形式的なセキュリティ教育をやってみても無駄とは言いませんけどほとんど効果を期待することができないだろうと思います。
=====
その通りだと思います。

情報技術の活用により今までできなかったことができるようになったり、より速くできるようになったり、より正確にできるようになったりしているのは事実で、それを情報技術の進歩のおかげというのもそうかもしれません。

しかし、より重要なことは、「進歩しているのは情報技術であって人間ではない」ということですね。
人間自身が進歩しているわけではないのに、情報技術の発展により人間自身が進歩しているように思ってしまう人がいることが問題なのかも知れませんね。


Posted by: 丸山満彦 | 2006.08.19 13:02

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference フィッシング進化論 日本銀行 インターネットバンキングの安全性を巡る現状と課題:

« 財務報告に係る内部統制 海外展開 | Main | SAS70、監査基準委員会報告書第18号 »