2016年サイバーセキュリティ重大トピックス (5) バングラデシュ中央銀行がハッキングにより多額の不正送金被害

西方望

December 28, 2016 07:04
by 西方望

社会インフラへの攻撃と並ぶフィクションのハッカーの得意技は、金融機関などからのカネの窃取だ。スーパーハッカーがいともたやすく銀行のシステムに侵入し、口座情報を書き換えて大金をせしめたり、他人の口座から自由にカネを移したりする、といったシーンをドラマや映画で見たという人は多いだろう。

実際には、このような形でカネが奪われた例は今までほぼなかったと言っていい。銀行内部の人間が協力して送金しようとした事件などはあるが、フィクションのスマートさにはほど遠い。だが、銀行がハッカーに狙われているというのも現実であり、実際に毎年何十億ドルとも言われるカネが奪われている。ただこれは銀行のシステムに侵入できるスーパーハッカーの仕業ではなく、オンラインバンクを利用するユーザーの側に侵入したバンキングマルウェアによるものだ。防備の堅い銀行のシステムへの侵入を試みるより、こちらの方がずっと効率はいいだろう。

1113億円の送金指示

だが、社会インフラへの攻撃による実害が本当に起きたのに引き続き、銀行のシステムに侵入してカネを奪うという事件も今年本当に起きてしまったのだ。

被害にあったのはバングラデシュの中央銀行(日本の日銀に相当する)であるバングラデシュ銀行。2月4日から5日にかけて、ニューヨーク連邦銀行にあるバングラデシュ銀行の外貨準備金口座に対し、バングラデシュ銀行の端末から30回以上の送金指示が送られた。その合計額は実に9億5100万ドル(1ドル=117円換算で約1113億円)。しかしこの送金指示は、バングラデシュ銀行の行員が出したものではなく、端末がハックされていたのだ。

しかしニューヨーク連銀側はそのことを知る由もないため、通常どおり送金処理を行う。この送金はドイツ銀行を経由し、フィリピンのリサール商業銀行とスリランカのパン・アジア・バンキングへのものだった。最初の4つの送金指示、計8100万ドル(同約95億円)は正常に処理され、リサール銀行の個人口座へ送られた。しかし次のパン・アジアへの2000万ドルの送金では問題が発生し、一時保留となる。

パン・アジアは金額が大きかったためいったんドイツ銀行に2000万ドルを戻し確認を求めた。ドイツ銀行が調べたところ、送り先は「Shalika Foundation」というNGO(後に実在しないと判明)だったが、綴りが「Foundation」ではなく「Fandation」となっていることに気づく。これを不審に思ったドイツ銀行は、送金を保留してバングラデシュ銀行に問い合わせたところ、バングラデシュ銀行はそのような指示を出していないとして、事件が発覚した。このためそれ以降の送金は中止され、被害額は8100万ドルで済んだ。といってもとてつもなく大きな額ではあるが。

ハッカーが身元をくらませたり、偽の手がかりを与えるためにわざと綴りを間違えるというのはよくあることだが、この場合は本当に間違えたという可能性が高い。誤記によって犯人はまったく得をしていない、というより大損をしているのだ。ニューヨーク連銀も額の多さのため途中でバングラデシュ銀行に問い合わせを行ったので、誤記がなくても9億5100万ドル全額をせしめることはできなかったと思われるが、それでも少なくとも2000万ドル、おそらくは数億ドルを棒に振ったことになる。一方で偽の手がかりという意味もない。英語ネイティブではあるまい、と思わせる程度なので捜査の攪乱にもならないのだ。つまりこれは史上最も高くついたミススペルの1つではないだろうか。

日本の銀行でも発生する可能性はあり

この事件の原因について、当初バングラデシュ銀行はニューヨーク連銀がハックされたせいだとしていた。しかし上記の経緯を見てのとおりニューヨーク連銀に非があるとは考えにくい。捜査はなかなか進まなかったが、やはりバングラデシュ銀行の側が侵入を受けていたこと自体は早期に明らかになった。当初懸念されていたのは、銀行間の取引に使われるSWIFT(Society for Worldwide Interbank Financial Telecommunication:国際銀行間通信協会)のシステム自体がハックされたのではないかという点だ。だがどうやらSWIFTのシステムそのものが侵入を受けたわけではないようだ。

ただ、銀行内部のSWIFTの認証情報を窃取した上で、SWIFTのメッセージなどを操作する機能を持つというマルウェアが見つかったと言われており、マルウェアの作者は銀行のシステムやSWIFTに関する十分な知識を持っていたと考えられる。そのマルウェアの侵入経路についてはまだよくわかっていないようだが、フィッシングメールによる可能性が高いと見られている。なおフィリピンに送られた8100万ドルはすぐにカジノの口座などに転送され、現在も回収できていない。

今回の件については、やはり最大の原因はバングラデシュ銀行のセキュリティ体制がお粗末だったことにあるようだ。ファイアウォールによる防備が不十分だったこととか、一般ネットワークとSWIFTシステムが接続されていたことなどが指摘されている。だがこれを「発展途上国だから」と笑って済ませてはいけないのは言うまでもない。日本でも、重要なシステムの運営者のセキュリティ意識が低いなどというのは珍しくないのではないか。日本の銀行なら安心、などとは思わない方がいいだろう。




AlphaBay・Hansa大手闇市場が閉鎖 (1) AlphaBay消滅後のダークマーケットはどうなる?

July 21, 2017 13:30

by 江添 佳代子

ダークウェブの闇市場の最大手として知られていたAlphaBayが7月5日に閉鎖され、その運営者として逮捕されていたアレキサンダー・カーゼスがタイの拘置所で死亡したことは既にTHE ZERO/ONEでお伝えした。カーゼスの自尽が報じられてから日は浅いのだが、セキュリティ業界では早くも「次の闇市場の王者…

賭博のイカサマアプリで大学生が約6億6300万円を荒稼ぎ

July 20, 2017 08:00

by 牧野武文

中国の主要都市では、アリペイ(アリババ)、WeChatペイ(テンセント)のモバイルペイメントが普及し、「無現金社会」がほぼ実現されている。2つのスマートフォン決済手段の普及の大きな原動力になったのが、「紅包」(ホンバオ、ご祝儀)機能だ。この紅包機能を利用したイカサマギャンブルアプリを開発した大学生が…

最大のダークウェブ闇市場「Alphabay」運営者がタイで逮捕され自殺

July 19, 2017 11:00

by 江添 佳代子

ダークウェブの闇市場最大手「Alphabay」を運営した容疑で逮捕されていた男が、拘置所で自らの命を絶ったようだ。『ウォールストリートジャーナル』の報道によれば、死亡が確認されたアレキサンダー・カーゼス(Alexandre Cazes)は26歳のカナダ市民。彼はタイで逮捕されたのち、現地の拘留所に収…