2016年サイバーセキュリティ重大トピックス (5) バングラデシュ中央銀行がハッキングにより多額の不正送金被害

西方望

December 28, 2016 07:04
by 西方望

社会インフラへの攻撃と並ぶフィクションのハッカーの得意技は、金融機関などからのカネの窃取だ。スーパーハッカーがいともたやすく銀行のシステムに侵入し、口座情報を書き換えて大金をせしめたり、他人の口座から自由にカネを移したりする、といったシーンをドラマや映画で見たという人は多いだろう。

実際には、このような形でカネが奪われた例は今までほぼなかったと言っていい。銀行内部の人間が協力して送金しようとした事件などはあるが、フィクションのスマートさにはほど遠い。だが、銀行がハッカーに狙われているというのも現実であり、実際に毎年何十億ドルとも言われるカネが奪われている。ただこれは銀行のシステムに侵入できるスーパーハッカーの仕業ではなく、オンラインバンクを利用するユーザーの側に侵入したバンキングマルウェアによるものだ。防備の堅い銀行のシステムへの侵入を試みるより、こちらの方がずっと効率はいいだろう。

1113億円の送金指示

だが、社会インフラへの攻撃による実害が本当に起きたのに引き続き、銀行のシステムに侵入してカネを奪うという事件も今年本当に起きてしまったのだ。

被害にあったのはバングラデシュの中央銀行(日本の日銀に相当する)であるバングラデシュ銀行。2月4日から5日にかけて、ニューヨーク連邦銀行にあるバングラデシュ銀行の外貨準備金口座に対し、バングラデシュ銀行の端末から30回以上の送金指示が送られた。その合計額は実に9億5100万ドル(1ドル=117円換算で約1113億円)。しかしこの送金指示は、バングラデシュ銀行の行員が出したものではなく、端末がハックされていたのだ。

しかしニューヨーク連銀側はそのことを知る由もないため、通常どおり送金処理を行う。この送金はドイツ銀行を経由し、フィリピンのリサール商業銀行とスリランカのパン・アジア・バンキングへのものだった。最初の4つの送金指示、計8100万ドル(同約95億円)は正常に処理され、リサール銀行の個人口座へ送られた。しかし次のパン・アジアへの2000万ドルの送金では問題が発生し、一時保留となる。

パン・アジアは金額が大きかったためいったんドイツ銀行に2000万ドルを戻し確認を求めた。ドイツ銀行が調べたところ、送り先は「Shalika Foundation」というNGO(後に実在しないと判明)だったが、綴りが「Foundation」ではなく「Fandation」となっていることに気づく。これを不審に思ったドイツ銀行は、送金を保留してバングラデシュ銀行に問い合わせたところ、バングラデシュ銀行はそのような指示を出していないとして、事件が発覚した。このためそれ以降の送金は中止され、被害額は8100万ドルで済んだ。といってもとてつもなく大きな額ではあるが。

ハッカーが身元をくらませたり、偽の手がかりを与えるためにわざと綴りを間違えるというのはよくあることだが、この場合は本当に間違えたという可能性が高い。誤記によって犯人はまったく得をしていない、というより大損をしているのだ。ニューヨーク連銀も額の多さのため途中でバングラデシュ銀行に問い合わせを行ったので、誤記がなくても9億5100万ドル全額をせしめることはできなかったと思われるが、それでも少なくとも2000万ドル、おそらくは数億ドルを棒に振ったことになる。一方で偽の手がかりという意味もない。英語ネイティブではあるまい、と思わせる程度なので捜査の攪乱にもならないのだ。つまりこれは史上最も高くついたミススペルの1つではないだろうか。

日本の銀行でも発生する可能性はあり

この事件の原因について、当初バングラデシュ銀行はニューヨーク連銀がハックされたせいだとしていた。しかし上記の経緯を見てのとおりニューヨーク連銀に非があるとは考えにくい。捜査はなかなか進まなかったが、やはりバングラデシュ銀行の側が侵入を受けていたこと自体は早期に明らかになった。当初懸念されていたのは、銀行間の取引に使われるSWIFT(Society for Worldwide Interbank Financial Telecommunication:国際銀行間通信協会)のシステム自体がハックされたのではないかという点だ。だがどうやらSWIFTのシステムそのものが侵入を受けたわけではないようだ。

ただ、銀行内部のSWIFTの認証情報を窃取した上で、SWIFTのメッセージなどを操作する機能を持つというマルウェアが見つかったと言われており、マルウェアの作者は銀行のシステムやSWIFTに関する十分な知識を持っていたと考えられる。そのマルウェアの侵入経路についてはまだよくわかっていないようだが、フィッシングメールによる可能性が高いと見られている。なおフィリピンに送られた8100万ドルはすぐにカジノの口座などに転送され、現在も回収できていない。

今回の件については、やはり最大の原因はバングラデシュ銀行のセキュリティ体制がお粗末だったことにあるようだ。ファイアウォールによる防備が不十分だったこととか、一般ネットワークとSWIFTシステムが接続されていたことなどが指摘されている。だがこれを「発展途上国だから」と笑って済ませてはいけないのは言うまでもない。日本でも、重要なシステムの運営者のセキュリティ意識が低いなどというのは珍しくないのではないか。日本の銀行なら安心、などとは思わない方がいいだろう。




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…