このページの本文へ

IDやパスワードの盗難を未然に防ぐ

「インターネットバンキング保護機能」はナゼ安心できるのか? ESETのエキスパートに聞いてみた

2018年10月31日 11時00分更新

文● 宮里圭介 編集●ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

 コストパフォーマンスに優れ導入しやすいこと、動作が軽いことで人気となっているセキュリティ対策ソフトの「ESET」。ウイルス・マルウェア検知や駆除、怪しい通信を遮断するといった基本的な機能に優れているのはもちろんだが、実はそれ以外にも多くのセキュリティ機能を装備している。

 今回はその中でも、被害が大きくなりやすいインターネットバンキングに関わる部分について詳しく見ていこう。

「インターネットバンキング保護機能」で安心できる取引を可能に

 銀行に足を運ばずとも残高確認、振り込み操作、その他の取引が可能なインターネットバンキングは便利なもので、活用しているという人も多いことだろう。しかし、IDやパスワードなどが漏れてしまうと、その被害はショッピングサイトの比ではなく、最悪、預金を根こそぎ持っていかれてしまうことすら考えられる。

 こういった被害を未然に防ぎ、安心で安全な取引を可能にしてくれるのが「インターネットバンキング保護機能」だ。この機能をオンにしておくと、銀行や証券会社などのサイトへアクセスした場合に自動で「セキュアブラウザ」が開き、安全性を高めてくれる。

銀行などへアクセスする際に利用したい「セキュアブラウザ」。ブラウザの周囲がグリーンで縁どられ、保護中であることがわかる。

 とはいえ、いくら安全性が高くなるといわれても、セキュアブラウザを使う場合と普通のブラウザのまま使う場合では何が違うのか、どういった仕組みで安全性を高めているのかといった部分が気になるところ。

 そこで、キヤノンITソリューションズ株式会社 ITインフラセキュリティ事業部 エンドポイントセキュリティ企画本部のお二方、企画担当の辻垣篤氏、技術担当の白石一郎氏に、より詳しい内容をうかがった。

企画部企画一課の辻垣篤氏
技術開発部技術検証課の白石一郎氏

2016年発売のV9.0から搭載されたキーロガー対策用のブラウザ

 インターネットバンキングを狙った脅威は古くからあるが、とくに日本を標的にしたマルウェアが増えてきたのが2013年頃。2015年の末になると多くの種類が登場し、さらに2016年以降は拡散の拡大と巧妙化が進むなど、対策が急務となる状況になっていた。

キヤノンITソリューションズの「2018年上半期のマルウェアレポート」より引用(P15)。インターネットバンキングを狙う脅威は続いている

 こういった危機にいち早く対抗するため、ESETが2016年2月発売の「ESET Smart Security V9.0」で追加したのが「インターネットバンキング保護機能」だ。従来から搭載されていたフィッシング対策などは偽装サイトへの対策がメインとなるため、怪しいURLにアクセスさせないというのが基本的な動作となる。そのため、キーロガーを使ったIDやパスワードの盗難を防ぐことは難しかった。

 もちろん、キーロガーの多くはウイルス・マルウェア対策によって検知・駆除されるため、これによる被害が必ずしも起こるわけではない。しかし、いつ検知をすり抜ける新種が登場するかはわからないため、これだけでは完全とはいえないわけだ。

 こういったキーロガー対策として作られたのが、インターネットバンキング保護機能として搭載された「セキュアブラウザ」だ。

辻垣「2015年当時、インターネットバンキングの被害件数・被害額とも非常に多くなっていて、早急な対策が必要でした。セキュアブラウザではキーロガーに対抗するため、キー入力とブラウザの間の通信を暗号化し、たとえ盗み取られたとしても、意味のない文字列しか盗まれないようにしています」

セキュアブラウザはブラウザのアドオンを無効化し、さらに、キーボードからのID・パスワード入力を暗号化してくれる。
Windows 7でキーロガーを試してみた例。通常のIEでは入力した「security」という文字がそのまま記録されてしまっているが、セキュアブラウザでは「sdfghjkl」という無意味な文字列しか記録されていない。

辻垣「ソフトで実現されているキーロガーであれば、しっかりと守ることができます」

 このセキュアブラウザは2016年の機能搭載当時から日本国内の140ほどのサイトに標準対応しており、順次対応サイトの見直し、追加などが行われ、より安全に使える範囲が増えている。

 では、標準対応していないサイトはどうすればいいのだろうか。サポートへ連絡することで今後追加される可能性もあるそうだが、必ずしも対応されるとは限らないし、その対応を待つ間に被害にあってしまっては意味がない。その点を聞いてみると、ユーザーが自分で登録可能だという。

白石「大手銀行・証券会社などへのアクセス時は自動で起動しますが、設定で登録しておけば、標準で対応していないサイトでもセキュアブラウザを自動起動させることができます。もちろん手動で使うことも可能ですから、必要に応じて自分で起動するというのもいいですね」

標準対応のサイトへアクセスした場合は、セキュアブラウザで開くかどうかの画面が表示される。
標準で対応していないサイトでも、設定でURLを登録しておけば次のアクセス時から自動的にセキュアブラウザが起動するようになる。

 なお、最近では銀行や証券会社側の対策がかなり進められていることもあり、被害は減少傾向にあるという。ただし、対策が遅れがちな電子決済サービスなどは依然狙われており、こういったサイトへアクセスする場合は、可能な限りセキュアブラウザを使うようにしたい。

 また白石氏によれば、セキュアブラウザはプラグインのような形で実現されているため、IE、Chrome、Firefoxで利用可能とのこと。専用の別ブラウザではないため、普段使っているブラウザのまま、より安全に利用できるというのもメリットといえそうだ。

セキュアブラウザだけでなく総合力で安全性を高めるESET

 当然ながら、インターネットバンキングを標的としたマルウェアの動作は単機能ではなく、複合的なものだ。たとえば今現在も拡散している情報窃取型マルウェア「Ursnif」は、キーボード入力、スクリーンショット、Webカメラでの映像や音声、各種サイトの認証情報、ブラウザのCookieなど、情報を盗むあらゆる手段を持っている。これらのうちのひとつを潰したところで、それ以外のセキュリティの手が甘くなっていては意味がない。

 ESETならウイルスやマルウェアに感染させない保護機能はもちろんのこと、万が一感染してしまっても、「セキュアブラウザ」のように情報の盗難を未然に防ぐ機能が多数搭載されているのが強みだ。ひとつの機能に頼ることなく、総合力で安全性を高めるESETだからこそ、安心して使えるといえるだろう。

 もちろん、セキュリティ対策ソフトはあくまで転ばぬ先の杖としての安心であって、これに頼り切った使い方は考えもの。怪しいメールの添付ファイルは開かない、不用意にリンクをクリックしないといった、基本的なところは常に心掛けつつ、さらにESETで安全性を高めておきたい。

(提供:キヤノンITソリューションズ)