スキップしてメイン コンテンツに移動

連邦預金保険公社(FDIC)のスパイウェア対策ガイダンス

 


 Last Updated:April 30.2024

 米国連邦預金保険公社(FDIC)は2005年7月22日に次の金融機関向けにスパイウェアのリスク軽減対策のガイダンス(Spyware Guidance on Mitigating Risks From Spyware)を発した。わが国の金融庁等も同様の警告を発しているが、金融機関から見た場合、補足資料など具体性に差がある。

 このような専門知識を顧客にどのように説明しているのか、IT先進国の消費者のレベルは実際どのようなものなのか、また金融機関の顧客向け啓蒙活動の内容とは、FDICに直接確認してみたい


Ⅰ. FDICスパイウェアのリスク軽減対策のガイダンスの仮訳

緊急リリース
PR-68-2005(7-22-2005)
広報担当者
         デビッド・バー(David Barr)(202)896-6992

 連邦預金保険公社(Federal Deposit Insurance Corporation:FDIC)は、本日、スパイウェアすなわち個人情報または組織の機密情報をあらか,,じめの認識またはインフォームド・コンセントなしに収集または第三者に通知するソフトウェア被害が拡大する危機をいかに予防するかという点に関する金融機関向けガイダンスを公表した。FDICの監督・消費者保護部長であるミハエル・J・ザムロスキー(Michael J.Zamorski)は、スパイウェアにより収集された情報は銀行のシステムそのものを危うくしたり「なりすまし(identity theft)犯罪」に使用されるものであり、銀行がこの悪意に満ちたソフトウェアに含まれる各種リスクを放置したままでいることは批判されねばならないし、また自らの顧客が被害に遭わないよう適切な行動をとらねばならないと述べている。

 本日出されたガイダンスは、金融機関にスパイウェアに関するリスクを通知するとともに金融機関が内部コンピュータや銀行のウェブサイトにつながる顧客のコンピュータにかかるリスクの軽減を行うための具体的な行動を勧告するものである。

 金融機関(商業銀行、貯蓄金融機関)向け通知文(FIL-66-2005)
「スパイウェアからのリスク軽減に関するガイダンス」

〔要旨〕FDICは金融機関向けに自行のリスク・プロファイルにもとづく効果的なスパイウェアの防止と検出に関する付属ガイダンスを公布している。本ガイダンスおよび別添情報資料では、銀行と消費者の双方にとってスパイウェアに関するリスクを論じ、これらのリスク軽減のための具体的軽減策を勧告している。

〔内容〕
1.はじめに
 「スパイウェア」の用語は、本人が知らない間にユーザーの情報を収集したり第三者に個人情報を提供することを意味する。ある種のスパイウェアは暗証番号、クレジットカード番号、その他機微性・機密性の高い組織や個人の情報を傍受するものである。金融機関はこれに対抗するため情報セキュリティプログラムと顧客の啓蒙用プログラムのアンチスパイウェア戦略を考慮しなければならない。

2.スパイウェアによる各種リスク
 スパイウェアは、次の点において金融機関のリスクを増加させる。
①顧客のID番号やパスワードといった機密情報の内容を盗み聞き、あるいは傍受することで取引の機密性を危うくする。
②金融機関の潜在的に顧客の口座に対する権限外のアクセスを可能とすることで金融機関の評判を害する。
③銀行の各種資源の悪用や銀行のシステムへの無権限アクセスを可能とする。
④フィッシングやファーミングといったインターネットを経由した他の攻撃のリスクを増加させる。

3.スパイウェアから生じるリスクを軽減するための勧められる具体的な行動
 以下の情報セキュリティプログラムを強化しなければならない。

①金融機関における「リスクアセスメント」の一環としてスパイウェアの脅威を考慮すること。
②スパイウェアと関連するリスクならびに顧客に対し許容しがたい範囲(ダウンロードの禁止や適切でないウェブサイトの閲覧など)を意図したセキュリティ対策とインターネットの安全な使用に関する方針を強化する。管理者はこれらの方針を従業員に徹底することならびに適切に従わない者に対し譴責(けんせき)処分を行うこと。
③顧客に対し、スパイウェアに関するリスクの教育と顧客自身が自らスパイウェアーの侵入の防御・検出を可能とする手立てについて奨励すること。さらに、ホテル、図書館、インターネットカフェーといった公共の場でのコンピュータの利用リスクを周知すること。
④多要素認証方式(multi-factor authentication methods:これは顧客の口座番号、パスワード、口座番号等が盗取されるリスクを減少させるものである)の調査研究を行うこと。

補足資料「スパイウェアの防止と検出に関する最善の実践手段」
1.スパイウェア感染
 通常、スパイウェアはユーザーの知識や許可なしにインストールされる。また、ある場合にはユーザーは自らの行為の結果についての悪影響を完全に理解せずに意識的にインストールすることもある。ユーザ-はしばしば情報の収集範囲や方法が不明確な「エンドユーザー使用許諾契約(EULA)」の受け入れを求められる。

 以下の方法はスパイウェアがインストールされる具体的な方法である。
①実際「一括販売(boundling)」といったすべての使用許諾契約がポップアップウィンドウに含まれていて、よほど注意して読まないと無意識に一括販売によりスパイウェアをインストールてしまう。
②技術面でメリットが得られると称してユーザーがダウンロードしてしまう場合である。いくつかのスパイウェアは生産性、ウイルススキャン能力、その他のメリットが得られると強調される。
③インターネットの閲覧技術を介したインストールの方法として「自動ダウンロード」がある。この技術はユーザーがウェブサイトを閲覧しただけでインストールされてしまう。
④ユーザーが迷惑メール(spam)を開いたり閲覧しただけで自動的にスパイウェアがダウンロードされる。

2.スパイウェアに関する対応の難しさ
 スパイウェアは検出や削除がむずかいしいが、その理由は次の点にある。

①常に在起動中のソフトでありながら、ウインドウズのタスクマネージャーに表示されない。
②「削除・追加ソフト」の中のオプションに含まれない。仮にオプションに含まれている場合でも、削除手続きがすべての要部品を完全に取り除くことにはならない、あるいは削除を完全なものとすると称してユーザーを再度インターネットサイトにつなげることもある。このことは時としてスパイウェアの削除により追加や新たな感染をもたらす。
③1つのスパイウェアーのインストールがユーザーのパソコンなどに他のスパイウェアのインストールを引き起こすことがある。

3.金融機関におけるスパイウェアによるリスクの増強
①セキュリティの脆弱性やセッティングを不当に利用したり、セキュリティレベルを緩和する目的からコンピュータの機器構成の変更、または金融機関のファイアーウォールを回避するための通信経路を作ることになる。その結果は、攻撃者はキーストローク、eメール、インターネットを介した情報伝達のモニタリングを通じて機密情報の盗み見や傍受が可能となる。
②攻撃者に金融機関のコンピュータにスパムメールや悪意あるソフト(malware)を送ったり、他の機関に対してドス(DoS)攻撃を行うため自行のコンピュータに対する制御能力を与える。
③違法なスパイウェアを取り外す結果、インターネット接続の中断により銀行業務の遂行を危うくする。
④企業のemailの口座にスパム事件を引き起こす。
⑤機密性を危うくする:ある種のスパイウェアは時としてユーザーは知らない間に自身のサーバーを介してインターネットコミュニケーションの通信を行う。このことはSSLやその他の暗号化技術が使用されているときでも第三者は機密情報を閲覧できる。その他の形式のスパイウェアでは、インターネットの通信内容のモニタリングと記録を行い、そのレポートをハッカーに送信する。このように、なりすまし詐欺者は集めたID番号やパスワードを使用して顧客になりすますのである。
⑥ある種のスパイウェアは、インターネットのページ要求を変更することができるのでフィッシングやファーミング攻撃といった脆弱性を増すことができる。
 

4.スパイウェアに関するリスク緩和のための勧められるべき行動
 金融機関は次の施策をとることによりリスクの評価を行うとともにリスクの軽減に取り組む必要がある。
①ユーザーによるソフトウェアのダウンロードを一定の範囲で制限するが、金融機関による事前承認制はとるべきでない。

②ウェブサイトが新たなソフトウェアを自動ダウンロードすることを避けため、ウウインドウズの設定において「active X control」を無効にする(訳者注:具体的な手順については最後に注記した九州大学の牧之内研究室を参照)。これは、通常のブラウジングにおいてスパイウェアがインストールされることを防ぐ。

③ユーザーが使用しているOSやアプリケーションソフトについて最新の修正パッチ(訳者注:セキュリティパッチとは、ソフトウェアに脆弱性(セキュリティホール)が発見されたときに穴をふさぐという意味。一般的にソフトウェアメーカーやベンダーのホームページから無料でダウンロードできる。Windows Update 等)で常にメンテナンスする。

④アンチウィルスやスパム、スパイウェア用ソフトの最新版をインストールする。

⑤金融機関内、対外接続のおける通信内容をモニタリングするためファイアーウォールを設定する。できれば、通常のビジネスに不要な送信内容(仕事に関係ない従業員のインスタントメッセージへのアクセスなど)は外部用ポート(訳者注:インターネットとコンピュータの間を行き来するデータは、そのコンピュータのシステムがインターネット通信のために用意する 「 ポート 」という出入口を必ず経由する。 ポートは、0~65535の番号で識別され、原則として通信する内容や用途に応じて使うものを自由に決められる。)でブロックする。

⑥ポップアップウィンドウズ(訳者注:ポップアップウィンドウとは、ユーザーがリンクをクリックした際に、そのリンク先が新しい(別の)ウィンドウによって開くことで、そのコンテンツは注意を促すような簡単な内容から、外部リンクまで、様々である。)を制限するかまたはそれを防止するためのツールを実装する。

⑦新たなスパイウェアの脅威と阻止手段が出現したとき、金融機関として適応するための日頃の問題認識を強化しておく。

⑧定期的に信頼されるルート認証機関による証明書のチェックを行う。ある種のスパイウェアは安全なインターネット通信を阻止し、悪質なコード(malicious code)を実行するため信頼されるルート認証証明書(trusted root certificates(注))を用いることがある。これらの証明書の正当性について研究した後に、金融機関はスパイウェアによってインストールされたものを排除することができる。

(注)「trusted root certificates」とはSSLというプロトコルを通じて、インターネット上で安全に個人情報を伝達するものである。この証明書は信頼できる機関により個人または組織を識別する電子的確認方法である。
⑨大量の顧客が同じインターネットのアドレスを使ってウェブサイトにアクセスしているか否かを判断するため、ファイアーウォール用ログの分析が必要である。このことにより、このようなアドレスを使ってインターネットバンキング・サイトへの遮断を意図するものかをチェックすることができる。

5.金融機関がスパイウェアの防止につき顧客に勧めるべき行動
 顧客は次の行動により、スパイウェアの防止と検出が可能となる。
①定期的にアンチスパイウェアをインストールし、ウィルス被害の防止とソフトウェアを更新する。

②ウェブサイトが自動的に新しいプログラムのインストールやActive X コントロールを行うことを防ぐようブラウザの設定を調整する。

③エンドユーザー用使用許諾契約書の内容を注意深く読むこと、内容が十分理解できない場合はインストールを避けること。

④OSとブラウザについて常にパッチ作業を行うなどメンテナンスすること。

スパイウェアのリスク・対策についてやさしく説明しているサイト例。
https://eset-info.canon-its.jp/malware_info/special/detail/220726.html
https://www.fielding.co.jp/service/security/measures/column/column-12/

また、以下が「Windows のセキュリティ設定」について詳細に解説している。筆者も安易に購入時のまま設定を放置している点を反省させられた。

https://jp.ext.hp.com/techdevice/windows10sc/15/

https://solution.fielding.co.jp/column/it/itcol04/201907_06/


6.スパイウェアに関するリスク緩和のための勧められるべき行動
 金融機関は次の施策をとることによりリスクの評価を行うとともにリスクの軽減に取り組む必要がある。
①ユーザーによるソフトウェアのダウンロードを一定の範囲で制限するが、金融機関による事前承認制はとるべきでない。

②ウェブサイトが新たなソフトウェアを自動ダウンロードすることを避けため、ウウインドウズの設定において「active X control」を無効にする(訳者注:具体的な手順については最後に注記した九州大学の牧之内研究室を参照)。これは、通常のブラウジングにおいてスパイウェアがインストールされることを防ぐ。

③ユーザーが使用しているOSやアプリケーションソフトについて最新の修正パッチ(訳者注:セキュリティパッチとは、ソフトウェアに脆弱性(セキュリティホール)が発見されたときに穴をふさぐという意味。一般的にソフトウェアメーカーやベンダーのホームページから無料でダウンロードできる。Windows Update 等)で常にメンテナンスする。

④アンチウィルスやスパム、スパイウェア用ソフトの最新版をインストールする。

⑤金融機関内、対外接続のおける通信内容をモニタリングするためファイアーウォールを設定する。できれば、通常のビジネスに不要な送信内容(仕事に関係ない従業員のインスタントメッセージへのアクセスなど)は外部用ポート(訳者注:インターネットとコンピュータの間を行き来するデータは、そのコンピュータのシステムがインターネット通信のために用意する 「 ポート 」という出入口を必ず経由する。 ポートは、0~65535の番号で識別され、原則として通信する内容や用途に応じて使うものを自由に決められる。)でブロックする。

⑥ポップアップウィンドウズ(訳者注:ポップアップウィンドウとは、ユーザーがリンクをクリックした際に、そのリンク先が新しい(別の)ウィンドウによって開くことで、そのコンテンツは注意を促すような簡単な内容から、外部リンクまで、様々である。)を制限するかまたはそれを防止するためのツールを実装する。

⑦新たなスパイウェアの脅威と阻止手段が出現したとき、金融機関として適応するための日頃の問題認識を強化しておく。

⑧定期的に信頼されるルート認証機関による証明書のチェックを行う。ある種のスパイウェアは安全なインターネット通信を阻止し、悪質なコード(malicious code)を実行するため信頼されるルート認証証明書(trusted root certificates(注))を用いることがある。これらの証明書の正当性について研究した後に、金融機関はスパイウェアによってインストールされたものを排除することができる。

(注)「trusted root certificates」とはSSLというプロトコルを通じて、インターネット上で安全に個人情報を伝達するものである。この証明書は信頼できる機関により個人または組織を識別する電子的確認方法である。
⑨大量の顧客が同じインターネットのアドレスを使ってウェブサイトにアクセスしているか否かを判断するため、ファイアーウォール用ログの分析が必要である。このことにより、このようなアドレスを使ってインターネットバンキング・サイトへの遮断を意図するものかをチェックすることができる。

7.金融機関がスパイウェアの防止につき顧客に勧めるべき行動
 顧客は次の行動により、スパイウェアの防止と検出が可能となる。
①定期的にアンチスパイウェアをインストールし、ウィルス被害の防止とソフトウェアを更新する。

②ウェブサイトが自動的に新しいプログラムのインストールやActive X コントロールを行うことを防ぐようブラウザの設定を調整する。

③エンドユーザー用使用許諾契約書の内容を注意深く読むこと、内容が十分理解できない場合はインストールを避けること。

④OSとブラウザについて常にパッチ作業を行うなどメンテナンスすること。

 また、ESETサイトが「Windows のセキュリティ設定」について詳細に解説している。筆者も安易に購入時のまま設定を放置している点を反省させられた。

****************************************************************

(今回のブログは2005年8月24日登録分の改訂版である)

**********************************************************************
                            
Copyright © 2005-2010 芦田勝. All Rights Reserved.No reduction or republication without permission.

コメント

コメントを投稿

このブログの人気の投稿

ウクライナ共同捜査チームの国家当局が米国司法省との了解覚書(MoU)に署名:このMoU は、JIT 加盟国と米国の間のそれぞれの調査と起訴における調整を正式化、促進させる

  欧州司法協力機構(Eurojust) がウクライナを支援する共同捜査チーム (Ukraine joint investigation team : JIT) に参加している 7 か国の国家当局は、ウクライナで犯された疑いのある中核的な国際犯罪について、米国司法省との間で了解覚書 (以下、MoU) に署名した。この MoU は、ウクライナでの戦争に関連するそれぞれの調査において、JIT パートナー国と米国当局との間の調整を強化する。  このMoU は 3 月 3 日(金)に、7 つの JIT パートナー国の検察当局のハイレベル代表者と米国連邦司法長官メリック B. ガーランド(Merrick B. Garland)によって署名された。  筆者は 2022年9月23日のブログ 「ロシア連邦のウクライナ軍事進攻にかかる各国の制裁の内容、国際機関やEU機関の取組等から見た有効性を検証する!(その3完)」の中で国際刑事裁判所 (ICC)の主任検察官、Karim A.A. Khan QC氏 の声明内容等を紹介した。  以下で Eurojustのリリース文 を補足しながら仮訳する。 President Volodymyr Zelenskiy and ICC Prosecutor Karim A. A. Khan QC(ロイター通信から引用) 1.ウクライナでのJITメンバーと米国が覚書に署名  (ウクライナ)のICC検事総長室内の模様;MoU署名時   中央が米国ガーランド司法長官、右手がICCの主任検察官、Karim A.A. Khan QC氏  MoUの調印について、 Eurojust のラディスラフ・ハムラン(Ladislav Hamran)執行委員会・委員長 は次のように述べている。我々は野心のために団結する一方で、努力においても協調する必要がある。それこそまさに、この覚書が私たちの達成に役立つものである。JIT パートナー国と米国は、協力の恩恵を十分に享受するために、Eurojustの継続的な支援に頼ることができる。  米国司法長官のメリック B. ガーランド(Merrick B. Garland)氏は「米国が 7 つの JIT メンバー国全員と覚書に署名する最初の国になることを嬉しく思う。この歴史的な了解覚書は...
コメントを投稿
続きを読む

米国連邦取引委員会(FTC)が健康製品に関する新しい拡大コンプライアンスガイダンスを発行

   2022年12月20日、米国連邦取引委員会(以下、FTCという)は、以前の 1998年のガイダンスである栄養補助食品:業界向け広告ガイド(全32頁) を改定および置き換える 健康製品等コンプライアンスガイダンス の発行を 発表 した。 Libbie Canter氏 Laura Kim氏  筆者の手元に Covington & Burling LLPの解説記事 が届いた。筆者はLibbie Canter氏、Laura Kim氏他である。日頃、わが国の各種メディア、SNS、 チラシ等健康製品に関する広告があふれている一方で、わが国の広告規制は一体どうなっているかと疑うことが多い。  FTCの対応は、時宜を得たものであり、取り急ぎ補足を加え、 解説記事 を仮訳して紹介するものである。 1.改定健康製品コンプライアンスガイダンスの意義  FTCは、ガイドの基本的な内容はほとんど変更されていないと述べているが、このガイダンスは、以前のガイダンスの範囲につき栄養補助食品を超えて拡大し、食品、市販薬、デバイス、健康アプリ、診断テストなど、すべての健康関連製品に関する主張を広く含めている。今回改定されたガイダンスでは、1998年以降にFTCが提起した多数の法執行措置から引き出された「主要なコンプライアンス・ポイント」を強調し、① 広告側の主張の解釈、②立証 、 その他の広告問題 などのトピックに関連する関連する例について具体的に説明している。 (1) 広告側の主張の特定と広告の意味の解釈  改定されたガイダンスでは、まず、広告主の明示的主張と黙示的主張の違いを含め、主張の識別方法と解釈方法について説明する。改定ガイダンスでは、広告の言い回しとコンテキストが、製品が病気の治療に有益であることを暗示する可能性があることを強調しており、広告に病気への明示的な言及が含まれていない場合でも、広告主は有能で信頼できる科学的証拠で暗黙の主張を立証できる必要がある。  さらに、改定されたガイダンスでは、広告主が適格な情報を開示することが予想される場合の例が示されている(商品が人口のごく一部をターゲットにしている場合や、潜在的に深刻なリスクが含まれている場合など)。  欺瞞やだましを避けるために適格な情報が必要な場合、改定されたガイダンスには、その適格...
コメントを投稿
続きを読む

米ノースカロライナ州アッシュビルの被告男性(70歳)、2,200万ドルのポンジ・スキーム(いわゆる「ねずみ講」)等を画策、実施した罪で17.5年の拘禁刑や1,700万ドル以上の賠償金判決

被告 Hal H. Brown Jr. 7 月 10 日付けで米連邦司法省・ノースカロライナ西部地区連邦検事局の リリース   が筆者の手元に届いた。 その内容は「 ノースカロライナ州アッシュビル住の被告男性 (Hal H. Brown Jr., 70 歳 ) は、 2,200 万ドル ( 約 23 億 5,400 万円 ) のポンジ・スキーム (Ponzi scheme : いわゆる「ねずみ講」 ) 等を画策、実施した罪で 17.5 年の拘禁刑 や 1,700 万ドル ( 約 18 億 1,900 万円 ) 以上の賠償金 の判決 を受けた。被告は定年またはそれに近い人を含む 60 人以上の犠牲者から金をだまし取ったとする裁判結果」というものである。 筆者は同裁判の被害額の大きさだけでなく、 1) この裁判は本年 1 月 21 日に被告が有罪を認め判決が出ているのにかかわらず、今時点で再度判決が出された利用は如何、さらに、 2)Ponzi scheme や取引マネー・ローンダリング (Transactional Money Laundering) の適用条文や量刑の根拠は如何という点についても同時に調査した。 特に不正資金の洗浄運び屋犯罪 (Money Mules) の種類 ( 注 1) の相違点につき詳細などを検証した。 さらに裁判官の連邦量刑ガイドラインや具体的犯罪の適用条文等の判断根拠などについても必要な範囲で専門レポートも参照した。 これらについて詳細に解析したものは、米国のローファームの専門記事でも意外と少なく、連邦検事局のリリース自体も言及していなかった。 他方、わが国のねずみ講の規制・取締法は如何、「ネズミ講」と「マルチ商法」の差は如何についてもその根拠法も含め簡単に論じる。いうまでもないが、ネズミ講の手口構成は金融犯罪に欠くべからざるものである。高齢者を狙うのは振込詐欺だけでなく、詐欺師たちは組織的にかつ合法的な似非ビジネスを模倣して、投資をはじめ儲け話しや貴金属ビジネスなどあらゆる違法な手口を用いている。 ( 注 2) 取締強化の観点からも、わが国の法執行機関のさらなる研究と具体的取り組みを期待したい。なお、筆者は 9 年前の 2011.8.16 に...
コメントを投稿
続きを読む