ユージン・カスペルスキー、金融セキュリティについてVISAと語る

バルセロナで開催されたMobile World Congress（MWC）2016において、ユージン・カスペルスキーとVISAのサンドラ・アルゼッタ（Sandra Alzetta）氏との対談が行われ、金融業界のセキュリティとそれに伴う課題について議論が交わされました。

https://www.instagram.com/p/BCGLi9aP0DD/

言うまでもなく、VISAは取引の安全性の確保に真剣に取り組んでいます。アルゼッタ氏の言葉を借りれば、どんなに便利な決済でも、安全だと思えなければ誰も取引しようとは思わないからです。さらにアルゼッタ氏は、新しいテクノロジーの1つ1つについて、何度でも安全性を強調しなければならないと述べました。安全性を保証できなければ、そのテクノロジーの導入に対して顧客は強い不安を感じるようになるからです。

VISAは顧客のお金の安全性を保証するため、独自のセキュリティ技術を開発するだけでなく、Kaspersky Labをはじめとするセキュリティ企業に助言を求めています。こうした取り組みには、絶えず改善が求められます。サイバー犯罪者は手口を洗練させてきていますし、人が汗水流して稼いだお金を手に入れようと、悪用できそうなセキュリティ上の欠陥を四六時中探し回っているからです。

ユージンが指摘したように、金融系サイバー犯罪はこの数年で劇的に変化しました。初期の金融系サイバー犯罪では、犯罪者は主に個人のコンピューターを狙い、標的の銀行口座に不正アクセスして金銭を奪うだけでしたが、現在は攻撃の矛先を企業へと転じています。

もちろん、今でも個人の金銭を狙う犯罪者は山ほどいますが、昨年はMetelやGCManなど、銀行から直接数百万ドルを盗み出す強力な攻撃集団も登場しました。さらに、Carbanakグループは銀行や金融企業だけでなく、不正侵入できる企業はすべて餌食にしました。

世界各地の銀行から総額10億ドルにも及ぶ金銭を盗み出したサイバー犯罪集団、#Carbanak の活動が明らかになりました。#APT 攻撃が我々一般人と無縁ではない時代…。 http://t.co/wqJhBpxMEw pic.twitter.com/Myq8PIOkvQ

— カスペルスキー 公式 (@kaspersky_japan) February 19, 2015

こうした攻撃は、個人を狙った単純でわかりやすいフィッシング攻撃とは異なり、はるかに複雑で高度です。ソーシャルエンジニアリングを使うほか、銀行ネットワークを横断しながら水面下で侵入を拡大する動きをする、特別に細工されたマルウェアを使ってバックエンドのコンピューターに不正侵入するなど、さまざまな手口があります。

ユージンの考えでは、安全な世界は「セキュリティ製品」、「法執行機関」、「セキュリティ意識」という3つの土台の上に築かれます。重要インフラ、個人用PC、モバイルデイバス向けには、すでに優れたセキュリティ製品が存在します。たとえば、VISAはトークンの開発に取り組んでおり、このトークンは利用者の認証情報やクレジットカード情報などの重要データの代わりにインターネット上で使われます。

サイバー犯罪者がWebサイトのハッキングに成功しても、そのサイトでしか動作しないトークンが手に入るだけで、利用者のクレジットカード情報は守られます。アルゼッタ氏の言うとおり、VISAがオンライン決済の安全性を担保するには、一歩でもサイバー犯罪者の先を行くしかなく、それを実現するのはテクノロジーの向上以外にありません。

Kaspersky Labは、オンラインバンキング向けのセキュリティ機能を提供しています。カスペルスキー インターネット セキュリティ（カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム）のネット決済保護機能は、その1つです。企業向けには、金融企業と連携してアドバイスを提供しているほか、詐欺対策システムなどの製品や安全な取引のためのテクノロジーの開発に取り組んでいます。

このほか、Kaspersky Labは（先ほどユージンが述べたように）法執行機関と緊密に連携しています。これは、サイバー犯罪者の数を抑えるため、そしてもちろん、必ず牢獄入りしてもらうためです。

https://www.instagram.com/p/BCFoL_8P0Lg

セキュリティ意識についてですが、ユージンの意見では、人々はPCの安全を脅かす深刻な脅威が数多く存在することに気付き、優れたセキュリティ製品はコンピューターに不可欠だと考えるようになっています。マルウェアChernobyl（チェルノブイリ）の大流行は、セキュリティ意識を高めるのに大きく貢献しました。このマルウェアは1998年、何千台ものコンピューターを物理的に損傷させ、人々に衝撃を与えました。人々はその衝撃から、コンピューターの保護が必要であることに気付いたのです。

一方で、モバイル業界ではまだこうした衝撃的な事件が発生していないため、モバイルのセキュリティは軽視されがちです。当ブログの読者であれば、すでに対策を講じ、Asacubなどのモバイル上の脅威についてよくご存知と思います。Kaspersky LabはMobile World Congress 2016において、Acecardに関する調査結果を発表しました。Acecardは、バンキングアプリの上にフィッシング画面を重ねて表示するバンキング型トロイの木馬で、30以上のアプリに対応しています。数百万台ものモバイルデバイスに感染するようなモバイルの脅威はいずれ出現する、そうなって初めて、人々はモバイルのセキュリティがPCのセキュリティと同じくらい重要であることに気付くだろう、とユージンは考えています。

最初は目立たないマルウェアだったものが、次第に進化をとげ強力化してゆく…バンキング型トロイの木馬「Acecard」がAndroidに脅威を与えています。 https://t.co/0xx2qR0pfD pic.twitter.com/Bvu0IqYYRx

— カスペルスキー 公式 (@kaspersky_japan) March 8, 2016

面白いのは、アルゼッタ氏とユージンとでは、モバイル決済のセキュリティに対する姿勢が異なることです。アルゼッタ氏はNFC決済を1日6～7回使用しますが、ユージンは一切使用しません。もっとも、ユージンがメインで使っている携帯電話が古き良きSony Ericssonというのも理由の1つです（最新のスマートフォンも持っていますが）。

iPhone新モデルやApple Watchも気になりますが、なんといっても注目は「Apple Pay」！セキュリティ業界目線ばりばりでレビューします。 http://t.co/Rw3MXXqcer

— カスペルスキー 公式 (@kaspersky_japan) September 15, 2014

これからMWC 2016の興味深いニュースをどんどんお届けする予定です。こちらから記事をご覧いただけますので、どうぞお楽しみに！