サイバー犯罪者に狙われる銀行間通信網「SWIFT」(前編)

江添 佳代子

November 17, 2017 08:00
by 江添 佳代子

銀行間通信網「SWIFT」(スイフト)の顧客を狙ったサイバー攻撃で、新たな犠牲者が出た。2017年11月4日の『The Himalayan Times』の報道によれば、SWIFTを利用しているネパールの銀行「NIC Asia Bank」にハッキングを仕掛けた犯人が、日本、英国、米国、シンガポールなどの6ヵ国へ約4億6000万ルピー(約5億円)を不正送金した(※1)。

この事件について説明する前に、まずはSWIFTそのものについて説明し、また過去にSWIFTが話題に上ったサイバーセキュリティの事件について確認したい。
 
※1…「The Himalayan Times」は、送金先となった6ヵ国のうち4ヵ国しか報じていない。一方11月8日のロイターは、そこに中国を加えた5ヵ国の名前を報じた。現在のところ、もう1ヵ国については伝えられていないようだ。

そもそもSWIFTとは何か?

SWIFT(Society for the Worldwide Interbank Financial Telecommunication、国際銀行間通信協会)とは、世界中の多くの金融機関が利用している通信ネットワークサービスの名前、あるいはそれを提供している協同組織の名前だ。混乱を避けるために前もって記すと(※2)、本稿は「ベルギーに本部を置く1973年設立の協同組織のSWIFT」ではなく、主に「その協同組織SWIFTが運用している通信ネットワークサービスのSWIFT」について言及していく。

SWIFTは「世界中の金融機関が迅速かつ安全に金融取引を行うための、標準化されたグローバルなインタラクティビティを促進するサービス」などと説明されることが多いため、要するに何なのかが分かりづらい。簡潔に言えば「顧客(SWIFT加入者)の金融機関同士が、国際的な決済や証券取引などに用いる重要文書を、同じフォーマットで安全に送受信できるインフラ」だ。

つまりSWIFTは決済や金融取引のシステムではない。それらのシステムと連携して働くことができる「メッセージングの」ネットワークサービスということになる。それだけ? と思われた方もいるかもしれない。しかし世界標準のシステムで取引用の重要なメッセージを送受信できるサービスは、国際的な金融取引において重要な役割を担っている。現在では世界の200以上の国で、1万以上の金融機関がSWIFTの顧客(加入者)となっている。

国際金融決済システム「SWIFT」の公式サイト

ちなみに2013年9月には、エドワード・スノーデンの内部告発文書によって「米NSAがSWIFTの金融取引を監視し、一部の記録をデータベースに保管していたこと」が暴露されたのだが、今回の話題からは外れてしまうので詳しい説明は割愛する。当時の報道内容は現在でも『デア・シュピーゲル』や『ロイター』のウェブサイトなどで読むことができる。
 
※2…この部分が少々ややこしいためか、ネパールの銀行のハッキング事件を「SWIFTそのものがハッキングされた事件」と誤解させかねない報道も一部にあった。ロイターは事件の第一報を届けたのち、「どこがハッキングされたのか」を分かりやすくするようため、記事の冒頭部分の説明を後日修正している。

2016年に発生したバングラデシュ中央銀行の不正送金事件

昨今の「SWIFT」にまつわるセキュリティニュースで真っ先に思い出されるのは、2016年にバングラデシュ中央銀行で発生した約8100万ドル(約90億円)の不正送金事件だ。この事件は「銀行を襲った史上最大級の盗難の事例」としてもよく知られており、また「もしも犯人が些細なスペルミスをしていなければ、犯罪が発覚しないまま約9億5000ドル(約1000億円)の不正送金が行われていたかもしれない」という点も話題となった。

このサイバー犯罪の手口はかなり複雑なのだが、むりやり一文で表すなら「犯人がカスタムメイドで作り上げた高度なマルウェアの働きにより、SWIFTで行われた不正な送金指示が『正当な取引』として認証されてしまった」というものだった。誤解を避けるために記すと、この攻撃で用いられたマルウェアは「バングラデシュ中央銀行が組織内で利用していたSWIFTのターミナル(銀行のローカルの環境)」に感染したと考えられている(※3)。つまりSWIFTサービスのシステムそのものが侵害されたのではない。

「SWIFTの顧客であるバングラデシュ中央銀行」の端末に感染したマルウェアは、その銀行がSWIFTで送受信するメッセージから必要な情報を抜き出したり、あるいはローカルにあるSWIFTのデータベースを改竄したりすることができた。その働きにより、クレデンシャルを奪った犯人はバングラデシュ中央銀行になりかわってメッセージを送信できるようになった。その彼らが指示する巨額の不正取引は、他のSWIFT加入者から見れば「正当な取引」だった。さらに被害者のローカルで利用されていたSWIFTのシステム(すでに感染済)は不審な取引が行われている兆候を示さなかったため、事件の発覚も遅れたと考えられている。それは、被害者に感染を気づかせないままこっそり悪事を働く機能に長けた、非常に高性能なマルウェアだった。

一方、被害者となったバングラデシュ中央銀行のセキュリティ対策のほうは、驚くほど貧弱だったようだ。なにしろ同行はファイアウォールをまったく利用しないまま、数ドル、あるいは10ドル程度のネットワーク機器を使ってSWIFTに接続していたと伝えられている。それならば、この事件は「バングラデシュ中央銀行のセキュリティがあまりにお粗末だったため、巨額の詐欺にあった」というだけの話で、SWIFTには何も問題がないはずだと感じた人も少なくないだろう。

実際、SWIFT側が発表した声明文も、「我々は侵害されていない」「我々のメッセージングサービスにはマルウェアの影響を全く受けていない」という点を強調した内容となっており、また顧客に対しては、適切なセキュリティ対策を実装した環境でSWIFTを利用するようにと呼びかけていた。

それらはいちいち正論なのだが、問題はそれほど単純でもないだろう。なにしろ犯人の作り出したマルウェアは、SWIFTのソフトウェアやインフラの働きを知り尽くしたうえで、SWIFTの加入者(感染先だけではなく取引先も)を欺くためだけに作り出されたものだ。そしてSWIFTの「安全で便利なシステム」を使っている組織であれば、自らのセキュリティが強固であろうと脆弱であろうと、とにかく「あのSWIFTが正当だと言っている(ように見える)取引」を無条件で信用しかねない。そんな加入者を守るためには、サービスを提供する側にも何らかの対策が必要ではないかと考える向きもあっただろう
 
※3…ここではスペースの都合上、説明を大幅に簡略化しているが、実際には虚偽の送金指示を行った犯人の働きも、またサイバー攻撃の手法も、もっと複雑で手が込んでいた。たとえば犯人が送り込んだマルウェアは「プリンターへの出力命令」を改竄していたと考えられている。SWIFTのシステムは、加入者に取引内容を確認させるメッセージを各加入者の環境下で自動的に出力するため、それを見たスタッフが不正な取引を認識できるようになっている。しかし「バングラデシュ中央銀行に感染したと考えられているマルウェア」のサンプルを入手したBAE SYSTEMSの研究報告によれば、このマルウェアは「出力される確認メッセージ」の内容さえも傍受し、それを改竄してから出力させるという手法で、悪事を隠蔽することができたようだ。

SWIFTの対応と「他にもあった事例」

巨額の不正送金の発覚から2ヵ月が経過した2016年4月、協同組織SWIFTはシステムの包括的なセキュリティ強化を行い、加入者たちに対しても「必須事項」としてSWIFTのソフトウェアのアップデートを促した。最新版のアップデートでは、各ローカル環境のデータベースで起こる不審な動きを検知しやすくするための改善が行われていた。事態を重く見たSWIFTが、加入者の各自の判断に任せるのではなく、積極的にアップデートを強いたことは評価されるべきだろう。

しかし、このときSWIFTは大いに気がかりなことも語っている。『Business Insider』の取材に対して、SWIFTの広報担当者は次のように説明した
「我々は、顧客にシステムのセキュリティの重要性と緊急性を強く訴えるため、『(バングラデシュ中央銀行の)ほかにも、顧客の組織における脆弱性が悪用された事例があったこと』を彼らに伝えた」

具体的な件数や国名などへの言及を避けたものの、その広報担当者は「顧客の脆弱性を狙った複数のエクスプロイト」が起きていたこと、それらの一部は成功していたこと、そして複数の利用者のクレデンシャル情報が攻撃者に盗み出されていたということを公にした。

「2月の不正送金事件は、とんでもなくセキュリティが貧弱な銀行でしか起きりえなかった恥ずかしい珍事件だ」と笑い飛ばしていた関係者でも、この報道を聞いたときには襟を正しただろう。SWIFTが「不都合な事実をわざわざ自分から公開してまで、加入者の危機感を煽った」という事実は、「いま、それだけ深刻な状況に陥っている」という知らせでもあるからだ。

問題のマルウェアは、SWIFTのネットワークシステムでなく「それぞれの加入者の脆弱な環境」に侵入して働くので、このような注意喚起が不可欠だったことは言うまでもない。しかし一部の見識者たちやセキュリティ研究者たちは、「他にもっとするべきことがある」「そもそもSWIFTが利用しているシステムも、セキュリティ面に問題がある」と指摘した。次回は、その部分からお伝えしたい。
 
(後編に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…