スキップしてメイン コンテンツに移動

連邦預金保険公社(FDIC)のスパイウェア対策ガイダンス

 


 Last Updated:April 30.2024

 米国連邦預金保険公社(FDIC)は2005年7月22日に次の金融機関向けにスパイウェアのリスク軽減対策のガイダンス(Spyware Guidance on Mitigating Risks From Spyware)を発した。わが国の金融庁等も同様の警告を発しているが、金融機関から見た場合、補足資料など具体性に差がある。

 このような専門知識を顧客にどのように説明しているのか、IT先進国の消費者のレベルは実際どのようなものなのか、また金融機関の顧客向け啓蒙活動の内容とは、FDICに直接確認してみたい


Ⅰ. FDICスパイウェアのリスク軽減対策のガイダンスの仮訳

緊急リリース
PR-68-2005(7-22-2005)
広報担当者
         デビッド・バー(David Barr)(202)896-6992

 連邦預金保険公社(Federal Deposit Insurance Corporation:FDIC)は、本日、スパイウェアすなわち個人情報または組織の機密情報をあらか,,じめの認識またはインフォームド・コンセントなしに収集または第三者に通知するソフトウェア被害が拡大する危機をいかに予防するかという点に関する金融機関向けガイダンスを公表した。FDICの監督・消費者保護部長であるミハエル・J・ザムロスキー(Michael J.Zamorski)は、スパイウェアにより収集された情報は銀行のシステムそのものを危うくしたり「なりすまし(identity theft)犯罪」に使用されるものであり、銀行がこの悪意に満ちたソフトウェアに含まれる各種リスクを放置したままでいることは批判されねばならないし、また自らの顧客が被害に遭わないよう適切な行動をとらねばならないと述べている。

 本日出されたガイダンスは、金融機関にスパイウェアに関するリスクを通知するとともに金融機関が内部コンピュータや銀行のウェブサイトにつながる顧客のコンピュータにかかるリスクの軽減を行うための具体的な行動を勧告するものである。

 金融機関(商業銀行、貯蓄金融機関)向け通知文(FIL-66-2005)
「スパイウェアからのリスク軽減に関するガイダンス」

〔要旨〕FDICは金融機関向けに自行のリスク・プロファイルにもとづく効果的なスパイウェアの防止と検出に関する付属ガイダンスを公布している。本ガイダンスおよび別添情報資料では、銀行と消費者の双方にとってスパイウェアに関するリスクを論じ、これらのリスク軽減のための具体的軽減策を勧告している。

〔内容〕
1.はじめに
 「スパイウェア」の用語は、本人が知らない間にユーザーの情報を収集したり第三者に個人情報を提供することを意味する。ある種のスパイウェアは暗証番号、クレジットカード番号、その他機微性・機密性の高い組織や個人の情報を傍受するものである。金融機関はこれに対抗するため情報セキュリティプログラムと顧客の啓蒙用プログラムのアンチスパイウェア戦略を考慮しなければならない。

2.スパイウェアによる各種リスク
 スパイウェアは、次の点において金融機関のリスクを増加させる。
①顧客のID番号やパスワードといった機密情報の内容を盗み聞き、あるいは傍受することで取引の機密性を危うくする。
②金融機関の潜在的に顧客の口座に対する権限外のアクセスを可能とすることで金融機関の評判を害する。
③銀行の各種資源の悪用や銀行のシステムへの無権限アクセスを可能とする。
④フィッシングやファーミングといったインターネットを経由した他の攻撃のリスクを増加させる。

3.スパイウェアから生じるリスクを軽減するための勧められる具体的な行動
 以下の情報セキュリティプログラムを強化しなければならない。

①金融機関における「リスクアセスメント」の一環としてスパイウェアの脅威を考慮すること。
②スパイウェアと関連するリスクならびに顧客に対し許容しがたい範囲(ダウンロードの禁止や適切でないウェブサイトの閲覧など)を意図したセキュリティ対策とインターネットの安全な使用に関する方針を強化する。管理者はこれらの方針を従業員に徹底することならびに適切に従わない者に対し譴責(けんせき)処分を行うこと。
③顧客に対し、スパイウェアに関するリスクの教育と顧客自身が自らスパイウェアーの侵入の防御・検出を可能とする手立てについて奨励すること。さらに、ホテル、図書館、インターネットカフェーといった公共の場でのコンピュータの利用リスクを周知すること。
④多要素認証方式(multi-factor authentication methods:これは顧客の口座番号、パスワード、口座番号等が盗取されるリスクを減少させるものである)の調査研究を行うこと。

補足資料「スパイウェアの防止と検出に関する最善の実践手段」
1.スパイウェア感染
 通常、スパイウェアはユーザーの知識や許可なしにインストールされる。また、ある場合にはユーザーは自らの行為の結果についての悪影響を完全に理解せずに意識的にインストールすることもある。ユーザ-はしばしば情報の収集範囲や方法が不明確な「エンドユーザー使用許諾契約(EULA)」の受け入れを求められる。

 以下の方法はスパイウェアがインストールされる具体的な方法である。
①実際「一括販売(boundling)」といったすべての使用許諾契約がポップアップウィンドウに含まれていて、よほど注意して読まないと無意識に一括販売によりスパイウェアをインストールてしまう。
②技術面でメリットが得られると称してユーザーがダウンロードしてしまう場合である。いくつかのスパイウェアは生産性、ウイルススキャン能力、その他のメリットが得られると強調される。
③インターネットの閲覧技術を介したインストールの方法として「自動ダウンロード」がある。この技術はユーザーがウェブサイトを閲覧しただけでインストールされてしまう。
④ユーザーが迷惑メール(spam)を開いたり閲覧しただけで自動的にスパイウェアがダウンロードされる。

2.スパイウェアに関する対応の難しさ
 スパイウェアは検出や削除がむずかいしいが、その理由は次の点にある。

①常に在起動中のソフトでありながら、ウインドウズのタスクマネージャーに表示されない。
②「削除・追加ソフト」の中のオプションに含まれない。仮にオプションに含まれている場合でも、削除手続きがすべての要部品を完全に取り除くことにはならない、あるいは削除を完全なものとすると称してユーザーを再度インターネットサイトにつなげることもある。このことは時としてスパイウェアの削除により追加や新たな感染をもたらす。
③1つのスパイウェアーのインストールがユーザーのパソコンなどに他のスパイウェアのインストールを引き起こすことがある。

3.金融機関におけるスパイウェアによるリスクの増強
①セキュリティの脆弱性やセッティングを不当に利用したり、セキュリティレベルを緩和する目的からコンピュータの機器構成の変更、または金融機関のファイアーウォールを回避するための通信経路を作ることになる。その結果は、攻撃者はキーストローク、eメール、インターネットを介した情報伝達のモニタリングを通じて機密情報の盗み見や傍受が可能となる。
②攻撃者に金融機関のコンピュータにスパムメールや悪意あるソフト(malware)を送ったり、他の機関に対してドス(DoS)攻撃を行うため自行のコンピュータに対する制御能力を与える。
③違法なスパイウェアを取り外す結果、インターネット接続の中断により銀行業務の遂行を危うくする。
④企業のemailの口座にスパム事件を引き起こす。
⑤機密性を危うくする:ある種のスパイウェアは時としてユーザーは知らない間に自身のサーバーを介してインターネットコミュニケーションの通信を行う。このことはSSLやその他の暗号化技術が使用されているときでも第三者は機密情報を閲覧できる。その他の形式のスパイウェアでは、インターネットの通信内容のモニタリングと記録を行い、そのレポートをハッカーに送信する。このように、なりすまし詐欺者は集めたID番号やパスワードを使用して顧客になりすますのである。
⑥ある種のスパイウェアは、インターネットのページ要求を変更することができるのでフィッシングやファーミング攻撃といった脆弱性を増すことができる。
 

4.スパイウェアに関するリスク緩和のための勧められるべき行動
 金融機関は次の施策をとることによりリスクの評価を行うとともにリスクの軽減に取り組む必要がある。
①ユーザーによるソフトウェアのダウンロードを一定の範囲で制限するが、金融機関による事前承認制はとるべきでない。

②ウェブサイトが新たなソフトウェアを自動ダウンロードすることを避けため、ウウインドウズの設定において「active X control」を無効にする(訳者注:具体的な手順については最後に注記した九州大学の牧之内研究室を参照)。これは、通常のブラウジングにおいてスパイウェアがインストールされることを防ぐ。

③ユーザーが使用しているOSやアプリケーションソフトについて最新の修正パッチ(訳者注:セキュリティパッチとは、ソフトウェアに脆弱性(セキュリティホール)が発見されたときに穴をふさぐという意味。一般的にソフトウェアメーカーやベンダーのホームページから無料でダウンロードできる。Windows Update 等)で常にメンテナンスする。

④アンチウィルスやスパム、スパイウェア用ソフトの最新版をインストールする。

⑤金融機関内、対外接続のおける通信内容をモニタリングするためファイアーウォールを設定する。できれば、通常のビジネスに不要な送信内容(仕事に関係ない従業員のインスタントメッセージへのアクセスなど)は外部用ポート(訳者注:インターネットとコンピュータの間を行き来するデータは、そのコンピュータのシステムがインターネット通信のために用意する 「 ポート 」という出入口を必ず経由する。 ポートは、0~65535の番号で識別され、原則として通信する内容や用途に応じて使うものを自由に決められる。)でブロックする。

⑥ポップアップウィンドウズ(訳者注:ポップアップウィンドウとは、ユーザーがリンクをクリックした際に、そのリンク先が新しい(別の)ウィンドウによって開くことで、そのコンテンツは注意を促すような簡単な内容から、外部リンクまで、様々である。)を制限するかまたはそれを防止するためのツールを実装する。

⑦新たなスパイウェアの脅威と阻止手段が出現したとき、金融機関として適応するための日頃の問題認識を強化しておく。

⑧定期的に信頼されるルート認証機関による証明書のチェックを行う。ある種のスパイウェアは安全なインターネット通信を阻止し、悪質なコード(malicious code)を実行するため信頼されるルート認証証明書(trusted root certificates(注))を用いることがある。これらの証明書の正当性について研究した後に、金融機関はスパイウェアによってインストールされたものを排除することができる。

(注)「trusted root certificates」とはSSLというプロトコルを通じて、インターネット上で安全に個人情報を伝達するものである。この証明書は信頼できる機関により個人または組織を識別する電子的確認方法である。
⑨大量の顧客が同じインターネットのアドレスを使ってウェブサイトにアクセスしているか否かを判断するため、ファイアーウォール用ログの分析が必要である。このことにより、このようなアドレスを使ってインターネットバンキング・サイトへの遮断を意図するものかをチェックすることができる。

5.金融機関がスパイウェアの防止につき顧客に勧めるべき行動
 顧客は次の行動により、スパイウェアの防止と検出が可能となる。
①定期的にアンチスパイウェアをインストールし、ウィルス被害の防止とソフトウェアを更新する。

②ウェブサイトが自動的に新しいプログラムのインストールやActive X コントロールを行うことを防ぐようブラウザの設定を調整する。

③エンドユーザー用使用許諾契約書の内容を注意深く読むこと、内容が十分理解できない場合はインストールを避けること。

④OSとブラウザについて常にパッチ作業を行うなどメンテナンスすること。

スパイウェアのリスク・対策についてやさしく説明しているサイト例。
https://eset-info.canon-its.jp/malware_info/special/detail/220726.html
https://www.fielding.co.jp/service/security/measures/column/column-12/

また、以下が「Windows のセキュリティ設定」について詳細に解説している。筆者も安易に購入時のまま設定を放置している点を反省させられた。

https://jp.ext.hp.com/techdevice/windows10sc/15/

https://solution.fielding.co.jp/column/it/itcol04/201907_06/


6.スパイウェアに関するリスク緩和のための勧められるべき行動
 金融機関は次の施策をとることによりリスクの評価を行うとともにリスクの軽減に取り組む必要がある。
①ユーザーによるソフトウェアのダウンロードを一定の範囲で制限するが、金融機関による事前承認制はとるべきでない。

②ウェブサイトが新たなソフトウェアを自動ダウンロードすることを避けため、ウウインドウズの設定において「active X control」を無効にする(訳者注:具体的な手順については最後に注記した九州大学の牧之内研究室を参照)。これは、通常のブラウジングにおいてスパイウェアがインストールされることを防ぐ。

③ユーザーが使用しているOSやアプリケーションソフトについて最新の修正パッチ(訳者注:セキュリティパッチとは、ソフトウェアに脆弱性(セキュリティホール)が発見されたときに穴をふさぐという意味。一般的にソフトウェアメーカーやベンダーのホームページから無料でダウンロードできる。Windows Update 等)で常にメンテナンスする。

④アンチウィルスやスパム、スパイウェア用ソフトの最新版をインストールする。

⑤金融機関内、対外接続のおける通信内容をモニタリングするためファイアーウォールを設定する。できれば、通常のビジネスに不要な送信内容(仕事に関係ない従業員のインスタントメッセージへのアクセスなど)は外部用ポート(訳者注:インターネットとコンピュータの間を行き来するデータは、そのコンピュータのシステムがインターネット通信のために用意する 「 ポート 」という出入口を必ず経由する。 ポートは、0~65535の番号で識別され、原則として通信する内容や用途に応じて使うものを自由に決められる。)でブロックする。

⑥ポップアップウィンドウズ(訳者注:ポップアップウィンドウとは、ユーザーがリンクをクリックした際に、そのリンク先が新しい(別の)ウィンドウによって開くことで、そのコンテンツは注意を促すような簡単な内容から、外部リンクまで、様々である。)を制限するかまたはそれを防止するためのツールを実装する。

⑦新たなスパイウェアの脅威と阻止手段が出現したとき、金融機関として適応するための日頃の問題認識を強化しておく。

⑧定期的に信頼されるルート認証機関による証明書のチェックを行う。ある種のスパイウェアは安全なインターネット通信を阻止し、悪質なコード(malicious code)を実行するため信頼されるルート認証証明書(trusted root certificates(注))を用いることがある。これらの証明書の正当性について研究した後に、金融機関はスパイウェアによってインストールされたものを排除することができる。

(注)「trusted root certificates」とはSSLというプロトコルを通じて、インターネット上で安全に個人情報を伝達するものである。この証明書は信頼できる機関により個人または組織を識別する電子的確認方法である。
⑨大量の顧客が同じインターネットのアドレスを使ってウェブサイトにアクセスしているか否かを判断するため、ファイアーウォール用ログの分析が必要である。このことにより、このようなアドレスを使ってインターネットバンキング・サイトへの遮断を意図するものかをチェックすることができる。

7.金融機関がスパイウェアの防止につき顧客に勧めるべき行動
 顧客は次の行動により、スパイウェアの防止と検出が可能となる。
①定期的にアンチスパイウェアをインストールし、ウィルス被害の防止とソフトウェアを更新する。

②ウェブサイトが自動的に新しいプログラムのインストールやActive X コントロールを行うことを防ぐようブラウザの設定を調整する。

③エンドユーザー用使用許諾契約書の内容を注意深く読むこと、内容が十分理解できない場合はインストールを避けること。

④OSとブラウザについて常にパッチ作業を行うなどメンテナンスすること。

 また、ESETサイトが「Windows のセキュリティ設定」について詳細に解説している。筆者も安易に購入時のまま設定を放置している点を反省させられた。

****************************************************************

(今回のブログは2005年8月24日登録分の改訂版である)

**********************************************************************
                            
Copyright © 2005-2010 芦田勝. All Rights Reserved.No reduction or republication without permission.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...