サイバー犯罪者に狙われる銀行間通信網「SWIFT」(前編)

江添 佳代子

November 17, 2017 08:00
by 江添 佳代子

銀行間通信網「SWIFT」(スイフト)の顧客を狙ったサイバー攻撃で、新たな犠牲者が出た。2017年11月4日の『The Himalayan Times』の報道によれば、SWIFTを利用しているネパールの銀行「NIC Asia Bank」にハッキングを仕掛けた犯人が、日本、英国、米国、シンガポールなどの6ヵ国へ約4億6000万ルピー(約5億円)を不正送金した(※1)。

この事件について説明する前に、まずはSWIFTそのものについて説明し、また過去にSWIFTが話題に上ったサイバーセキュリティの事件について確認したい。
 
※1…「The Himalayan Times」は、送金先となった6ヵ国のうち4ヵ国しか報じていない。一方11月8日のロイターは、そこに中国を加えた5ヵ国の名前を報じた。現在のところ、もう1ヵ国については伝えられていないようだ。

そもそもSWIFTとは何か?

SWIFT(Society for the Worldwide Interbank Financial Telecommunication、国際銀行間通信協会)とは、世界中の多くの金融機関が利用している通信ネットワークサービスの名前、あるいはそれを提供している協同組織の名前だ。混乱を避けるために前もって記すと(※2)、本稿は「ベルギーに本部を置く1973年設立の協同組織のSWIFT」ではなく、主に「その協同組織SWIFTが運用している通信ネットワークサービスのSWIFT」について言及していく。

SWIFTは「世界中の金融機関が迅速かつ安全に金融取引を行うための、標準化されたグローバルなインタラクティビティを促進するサービス」などと説明されることが多いため、要するに何なのかが分かりづらい。簡潔に言えば「顧客(SWIFT加入者)の金融機関同士が、国際的な決済や証券取引などに用いる重要文書を、同じフォーマットで安全に送受信できるインフラ」だ。

つまりSWIFTは決済や金融取引のシステムではない。それらのシステムと連携して働くことができる「メッセージングの」ネットワークサービスということになる。それだけ? と思われた方もいるかもしれない。しかし世界標準のシステムで取引用の重要なメッセージを送受信できるサービスは、国際的な金融取引において重要な役割を担っている。現在では世界の200以上の国で、1万以上の金融機関がSWIFTの顧客(加入者)となっている。

国際金融決済システム「SWIFT」の公式サイト

ちなみに2013年9月には、エドワード・スノーデンの内部告発文書によって「米NSAがSWIFTの金融取引を監視し、一部の記録をデータベースに保管していたこと」が暴露されたのだが、今回の話題からは外れてしまうので詳しい説明は割愛する。当時の報道内容は現在でも『デア・シュピーゲル』や『ロイター』のウェブサイトなどで読むことができる。
 
※2…この部分が少々ややこしいためか、ネパールの銀行のハッキング事件を「SWIFTそのものがハッキングされた事件」と誤解させかねない報道も一部にあった。ロイターは事件の第一報を届けたのち、「どこがハッキングされたのか」を分かりやすくするようため、記事の冒頭部分の説明を後日修正している。

2016年に発生したバングラデシュ中央銀行の不正送金事件

昨今の「SWIFT」にまつわるセキュリティニュースで真っ先に思い出されるのは、2016年にバングラデシュ中央銀行で発生した約8100万ドル(約90億円)の不正送金事件だ。この事件は「銀行を襲った史上最大級の盗難の事例」としてもよく知られており、また「もしも犯人が些細なスペルミスをしていなければ、犯罪が発覚しないまま約9億5000ドル(約1000億円)の不正送金が行われていたかもしれない」という点も話題となった。

このサイバー犯罪の手口はかなり複雑なのだが、むりやり一文で表すなら「犯人がカスタムメイドで作り上げた高度なマルウェアの働きにより、SWIFTで行われた不正な送金指示が『正当な取引』として認証されてしまった」というものだった。誤解を避けるために記すと、この攻撃で用いられたマルウェアは「バングラデシュ中央銀行が組織内で利用していたSWIFTのターミナル(銀行のローカルの環境)」に感染したと考えられている(※3)。つまりSWIFTサービスのシステムそのものが侵害されたのではない。

「SWIFTの顧客であるバングラデシュ中央銀行」の端末に感染したマルウェアは、その銀行がSWIFTで送受信するメッセージから必要な情報を抜き出したり、あるいはローカルにあるSWIFTのデータベースを改竄したりすることができた。その働きにより、クレデンシャルを奪った犯人はバングラデシュ中央銀行になりかわってメッセージを送信できるようになった。その彼らが指示する巨額の不正取引は、他のSWIFT加入者から見れば「正当な取引」だった。さらに被害者のローカルで利用されていたSWIFTのシステム(すでに感染済)は不審な取引が行われている兆候を示さなかったため、事件の発覚も遅れたと考えられている。それは、被害者に感染を気づかせないままこっそり悪事を働く機能に長けた、非常に高性能なマルウェアだった。

一方、被害者となったバングラデシュ中央銀行のセキュリティ対策のほうは、驚くほど貧弱だったようだ。なにしろ同行はファイアウォールをまったく利用しないまま、数ドル、あるいは10ドル程度のネットワーク機器を使ってSWIFTに接続していたと伝えられている。それならば、この事件は「バングラデシュ中央銀行のセキュリティがあまりにお粗末だったため、巨額の詐欺にあった」というだけの話で、SWIFTには何も問題がないはずだと感じた人も少なくないだろう。

実際、SWIFT側が発表した声明文も、「我々は侵害されていない」「我々のメッセージングサービスにはマルウェアの影響を全く受けていない」という点を強調した内容となっており、また顧客に対しては、適切なセキュリティ対策を実装した環境でSWIFTを利用するようにと呼びかけていた。

それらはいちいち正論なのだが、問題はそれほど単純でもないだろう。なにしろ犯人の作り出したマルウェアは、SWIFTのソフトウェアやインフラの働きを知り尽くしたうえで、SWIFTの加入者(感染先だけではなく取引先も)を欺くためだけに作り出されたものだ。そしてSWIFTの「安全で便利なシステム」を使っている組織であれば、自らのセキュリティが強固であろうと脆弱であろうと、とにかく「あのSWIFTが正当だと言っている(ように見える)取引」を無条件で信用しかねない。そんな加入者を守るためには、サービスを提供する側にも何らかの対策が必要ではないかと考える向きもあっただろう
 
※3…ここではスペースの都合上、説明を大幅に簡略化しているが、実際には虚偽の送金指示を行った犯人の働きも、またサイバー攻撃の手法も、もっと複雑で手が込んでいた。たとえば犯人が送り込んだマルウェアは「プリンターへの出力命令」を改竄していたと考えられている。SWIFTのシステムは、加入者に取引内容を確認させるメッセージを各加入者の環境下で自動的に出力するため、それを見たスタッフが不正な取引を認識できるようになっている。しかし「バングラデシュ中央銀行に感染したと考えられているマルウェア」のサンプルを入手したBAE SYSTEMSの研究報告によれば、このマルウェアは「出力される確認メッセージ」の内容さえも傍受し、それを改竄してから出力させるという手法で、悪事を隠蔽することができたようだ。

SWIFTの対応と「他にもあった事例」

巨額の不正送金の発覚から2ヵ月が経過した2016年4月、協同組織SWIFTはシステムの包括的なセキュリティ強化を行い、加入者たちに対しても「必須事項」としてSWIFTのソフトウェアのアップデートを促した。最新版のアップデートでは、各ローカル環境のデータベースで起こる不審な動きを検知しやすくするための改善が行われていた。事態を重く見たSWIFTが、加入者の各自の判断に任せるのではなく、積極的にアップデートを強いたことは評価されるべきだろう。

しかし、このときSWIFTは大いに気がかりなことも語っている。『Business Insider』の取材に対して、SWIFTの広報担当者は次のように説明した
「我々は、顧客にシステムのセキュリティの重要性と緊急性を強く訴えるため、『(バングラデシュ中央銀行の)ほかにも、顧客の組織における脆弱性が悪用された事例があったこと』を彼らに伝えた」

具体的な件数や国名などへの言及を避けたものの、その広報担当者は「顧客の脆弱性を狙った複数のエクスプロイト」が起きていたこと、それらの一部は成功していたこと、そして複数の利用者のクレデンシャル情報が攻撃者に盗み出されていたということを公にした。

「2月の不正送金事件は、とんでもなくセキュリティが貧弱な銀行でしか起きりえなかった恥ずかしい珍事件だ」と笑い飛ばしていた関係者でも、この報道を聞いたときには襟を正しただろう。SWIFTが「不都合な事実をわざわざ自分から公開してまで、加入者の危機感を煽った」という事実は、「いま、それだけ深刻な状況に陥っている」という知らせでもあるからだ。

問題のマルウェアは、SWIFTのネットワークシステムでなく「それぞれの加入者の脆弱な環境」に侵入して働くので、このような注意喚起が不可欠だったことは言うまでもない。しかし一部の見識者たちやセキュリティ研究者たちは、「他にもっとするべきことがある」「そもそもSWIFTが利用しているシステムも、セキュリティ面に問題がある」と指摘した。次回は、その部分からお伝えしたい。
 
(後編に続く)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ダークウェブで自動車爆弾を購入した英国青年は、いかにして特定されたか

December 15, 2017 08:00

by 江添 佳代子

2017年11月7日、爆発物の購入を試みた疑いで逮捕されていた19歳の英国人男性に有罪判決が下った。この事件には2つの注目すべき点がある。ひとつは、英国がサイバー犯罪の捜査で爆破事件を未然に防いだかもしれないという点。もうひとつは、「ダークウェブの利用者が捜査で特定された最新の事例かもしれない」とい…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (3) IoTのセキュリティを誰が守るのか

December 13, 2017 08:00

by 牧野武文

年々増加するIoT機器への攻撃。吉岡准教授によると現在はまだアーリーステージで単純な攻撃が多く、高度な攻撃が始まるのはこれからだと言う。それを見越して先に予防策を講じておくことが重要で、産官学の連携を取ることにより、日本製のIoT機器の強みに転化していくという発想が重要だという。 責任の所在が不明確…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (2) 攻撃者の狙いはDDoS攻撃

December 12, 2017 08:00

by 牧野武文

前回は吉岡准教授に、IoT機器への攻撃は主に3種類あることを聞いた。では、攻撃者は一体何を目的としてIoT機器を攻撃するのだろうか。 悪意の薄い「覗き見」 しゃ 覗き見から次の悪意が生まれるIoT機器、特にIPカメラの攻撃で最も多いのは「いたずら」「好奇心」によるものだ。「Insecam」というサイ…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (1) 感染機器は数十万台以上? IoTがサイバー攻撃者に狙われる理由

December 11, 2017 08:00

by 牧野武文

生活や業務のシーンに広く使われるようになったIoT機器。IPカメラ、IPプリンター、スマートウォッチなどはすでに当たり前のように使われるようになった。「1人1台」のPCやスマートフォンと比べると「1人複数台」のIoT機器は、爆発的に台数を増やしている。一方で、IoT機器に対するセキュリティ意識は低い…