負けたことがない 負けたと思ったことがない ~ 日本の金融サイバー犯罪の守護神セキュアブレインと Scam Radar BD | ScanNetSecurity
2024.03.29(金)

負けたことがない 負けたと思ったことがない ~ 日本の金融サイバー犯罪の守護神セキュアブレインと Scam Radar BD

たとえ局所的 短期的に敗北を喫しても、長期的に見れば決して負けることがないという自信は、自社開発製品であること、エッヂで強靱な R & D 体制を持つことから生まれる。

脆弱性と脅威 脅威動向
PR
 2020 年 12 月 16 日、日本証券業協会は、同年秋に発生した、証券口座へ不正アクセスが行われ有価証券が売却されるなどした複数の事案を受け、証券業界全体の取り組みとして「インターネット取引における不正アクセス等防止のための指針」を策定した。

証券業界における不正アクセス等防止に向けた取組みについて(日本証券業協会)

 実効性のある本人確認や、複雑なパスワード設定などの取引時の指針に加え、事案発生時の情報共有体制などの項目を含む、策定された 4 つの指針の中には、「モニタリング、脆弱性対策・情報管理」として、「不正検知のためのモニタリングの強化(ふるまい検知の導入、検知記録の分析のための態勢整備)」が明記された。

 不正検知のためのモニタリング強化の推奨によって注目が高まった製品のひとつが、不正予兆検知サービス「 SecureBrain Scam Radar BD(セキュアブレイン スキャム レーダー ビーディー)」だった。

 SecureBrain Scam Radar BD は、株式会社セキュアブレインによって開発され、2019 年から提供が開始された。同社は、国内の金融機関向けに本格的な国産フィッシング詐欺対策技術を提供するために 2004 年に設立され、主力製品のひとつ不正送金・フィッシング対策ソリューション「 PhishWall(フィッシュウォール)」を日本に広く普及させ、創立以来 20 年近くにわたり、サイバー金融犯罪と戦い、日本の金融機関へのサイバー攻撃を守りつづけた。

 セキュアブレインとは一体どのような会社だろうか。

 本誌のようなメディアから見ればセキュアブレインは「きわめて情報が少ない」セキュリティ会社だ。

 まずメディア露出がほとんどない。社長や開発者のインタビューは数えるほどしか見つからない。一部の業界向けのものを除いては展示会に出展することもなく、カンファレンスの基調講演にもほとんど顔を出さない。仰々しいプライベートショーを開催することもない。これほど徹底している企業も珍しい。

 本当の金持ちは港区のタワーマンションではなく麹町などにいると言われるが、本当に優れたセキュリティ企業ほど市場や人にあまり知られていないという、そんな実例の最たるものが株式会社セキュアブレインだろう。

 高い技術力を持つこと、多くの実績があること、それらを顧客はすでに知っているから、それで充分なのだ。そして本誌が取材したいと日頃考えているのもそういう企業である。情報が少ないのは発信すべきことがないからではない。実質はその正反対である。たとえば導入実績だ。

 Scam Radar BD の前身となったソリューション PhishWall は、2021 年 3月現在、計 181 のメガバンク・都銀・地銀・信用金庫・信用組合が、採用している(註 1 )。また、PhishWall のエンジンは、コンシュマー製品に OEM 提供もされている。

 セキュアブレインは、不正プログラムの検出やマルウェア解析、認証などの先端セキュリティ分野で、特許出願・保有数が10 を超える。10 という数が、果たして多いのか少ないのかきっとわからないことだろう。それもそのはず、日本でセキュリティ企業といえば、海外製品の販売代理店が大半である。特許以前に自分で作っていない。多いも少ないもない。まとめると 0 か 1 かの、数少ない 1 の側ということだ。

 また社内に設置された先端技術研究所では、長年に渡るマルウェア解析やネット犯罪対策の経験を活かし、国の依頼によるセキュリティの研究を多数行ってもいる。多くは NDA で公開できないが、公開研究事例として、NICT から依頼を受け、KDDI総合研究所などと共同で開発した、人気 TV アニメの古典「攻殻機動隊S.A.C.」シリーズに登場する多脚思考戦車「タチコマ」をモチーフにした Web 媒介型攻撃対策ソフトウェア「タチコマ・セキュリティ・エージェント」などがある。遊び心がある、そして堂々たる「国産 R & D セキュリティ企業」である。

 「国産」も「 R & D 」も、セキュリティ企業を評価する言葉としてあまり聞いたことがないに違いない。なぜなら、そう名乗れる企業が、特にセキュリティ専業という枠に限るなら、日本にほんの数社しか存在しないからである。

 さきに挙げた販売代理店や SIer、商社、大企業のセキュリティ子会社、SOC等マネージドサービスプロバイダー、診断やコンサルティング等を中心としたサービス企業が 99 %を占めるセキュリティ業界で、国産製品を自社開発し国内に提供し実績を挙げるという王道を行くセキュアブレインの存在感は突出する

 2004 年から提供されたフィッシング詐欺・不正送金対策ソリューションである「 PhishWall 」は、シマンテック米国本社で開発リーダーをつとめた山村 元昭(現セキュアブレイン副社長兼COO)らによって開発された。その後、MITB(マンインザブラウザ攻撃)が登場すると「 PhishWall プレミアム」で対応し、ユーザー側へのエージェントインストールを強いない「 PhishWall クライアントレス」によって、国内の普及が一気に進んだ。

 2018 年、流出したクレデンシャルを入手したなりすまし事案多発を受け、「 PhishWall クライアントレス」のオプション機能として、なりすまし検知サービスの提供を開始。なりすまし検知の知見をもとに不正利用者の振る舞いを分析可能とした新サービスが「 SecureBrain Scam Radar BD 」だ。

 SecureBrain Scam Radar BD は、オンラインバンクなどの Web サービスにアクセスしてきた端末の情報を、リアルタイムで収集・分析を行い、疑わしければサービス運用者に通知する。

 疑わしさの判定は、「IPアドレス」「ユーザーエージェント」「言語」等々の属性や、利用者 ID の履歴とその評価、リスト型攻撃によく用いられる同じ端末からの複数回のアクセスやログイン等の時系列情報などを分析し、スコアリングを行い、閾値を超えると、あるいは指定の項目を含むと、アラートを発報する。金融やクレジットカード、業界における、不正送金、不正カード利用、不正換金の検知と阻止に効果を発揮する。

 オンラインバンクの不正送金や不正カード利用は、違法に入手したクレデンシャルを用いてログインが行われる。しかし、その前段階として、買ってきた一山いくらの膨大なクレデンシャルの山を精査するためのログインが実施される。そもそもログインできるのか、残高がどのくらいかあるかなど、さまざまな「予備調査」だ。SecureBrain Scam Radar BD はこの「予兆」段階で芽を摘む。予兆で摘めば不正は起こらない。

 「近年、不正予兆検知の需要が従来のように金融業界だけが対象ではなくなっています」

 そう語ったのは、今回本誌の取材に応えた、株式会社セキュアブレイン 開発第 1 部 ゼネラルマネージャ 邦本 理夫と、同部 シニアソフトウェアエンジニアの松本 英樹だ。

 一体どういうことか。

 一言でいうなら、オンラインバンクやクレジットカード以外の Web から提供されるサービスのサイバー攻撃の「標的」としての価値向上である。ビジネスや生活のデジタル化、いわゆる広義の「 DX(デジタルトランスフォーメーション)」によって、金融以外のサービスの価値がどんどん上がっているのだ。

 これまでは、お金と手間をかけてサイバー攻撃を仕掛けるに値する標的といえば、すなわち金融サービスのことだった。しかし今やそうではない。ID とパスワードを入れて、何かしらのトランザクションを行う Web サービスすべてがそうなりつつある。その代表的事例が証券である。オンラインバンクやクレジットカードと比して相対的に危機意識は高くなかったオンライン証券サービスが狙われ、証券口座へ不正アクセスを許し、不正換金が行われた。

 対策が進むオンラインバンクやクレジットカードに正面から挑むなど、まるで頭の悪いコンビニ強盗だ。経済合理性で行われるサイバー犯罪は常にバイパスできる経路を探す。バイパスできる経路とはすなわち、ID とパスワードを入れて、何かしらのトランザクションを行う Web サービス全てだ。

 その対策方法は多数存在するが、約 20 年日本の金融機関を狙うマルウェアとサイバー攻撃の手法を追い続けてきたセキュアブレインと、彼らが用いる最新鋭の武器であるSecureBrain Scam Radar BD が候補の最初に上がることはまちがいないだろう。

 本稿執筆のための取材中、邦本と松本の顔が最高に輝いたエピソードを最後に紹介しよう。

 邦本は、2014 年以降セキュアブレインと資本関係を締結した株式会社日立システムズからセキュアブレインに出向した技術者だ。開発のリーダーをつとめながら、銀行などの顧客と密に打ち合わせを行い、ときには自らコードを書くこともある。セキュアブレインでの仕事について意見を求めると「スピード感」「顧客との距離の近さ」をやりがいとして邦本はあげた。

 顧客の相談を受け、外資なら半年かかる機能追加をたった数週間で行うことができること、そういうスピード感で仕事ができることに邦本は満足している。実際に、マンインザブラウザ攻撃やなりすまし検知等の新機能は、クライアントである銀行等の業界の担当者との会話がきっかけとなった。「セキュアブレインならなんとかしてくれるのでは」と相談された。SecureBrain Scam Radar BD も同様にしてクライアントの課題きっかけで開発された。

 そして距離が近いのは顧客だけではない。セキュアブレインが製品を提供し対策を行っていくと、攻撃者は次々とせっかくの対策を研究し、攻略し、無効化してくる。イタチごっこ、キャット&マウスゲームである。

 これを、聞いて驚くなかれ「ライブ感」という言葉で邦本と松本は形容し、顔を輝かせた。

 無効化してきたら、それを分析してまた対策する。ときには「この機能をいっぺんに加えると、きっとすぐにこう対策してくるだろうから、一度にでは無く何回かに分けて機能追加を行って奴らを消耗させよう」そんな駆け引きを行うことすらあると邦本と松本は語る。明らかに「マウス」ではなく「キャット」の側にいる自信が言葉にみなぎっていた(もしトムとジェリーなら「マウス」の方)。

 たとえ局所的 短期的に敗北を喫しても、長期的に見れば決して負けることがないという自信は、自社開発製品であること、エッヂで強靱な R & D 体制を持つことから生まれる。消耗戦を強いられ長い目で見て損な人生を送っているのは攻撃者の方だという揺るぎない確信が彼ら二人にはあった。

 邦本と松本のような快晴の空を思わせるポジティブさをセキュリティ企業の取材で感じることは実はとても少ない。そういえば、この底抜けのポジティブさは昨年、セキュアブレイン社が海外企業と提携した事例を取材したときにも感じたのであった。その取材ではサイバー攻撃をダイヤモンドや金鉱のような希少天然資源( AI に読み込ませるデータという意味で)ととらえる底抜けにポジティブな男が登場した。高度なサイバー攻撃を受ければ受けるほど会社も技術も成長できることに感謝しているふしすら感じられた。どちらの取材でも「セキュリティ業界まだまだ捨てたものではない」と感じ気持ちが明るくなった。

 もし、海外のサイバー攻撃者から、日本の金融サービスがハードターゲットで攻略が難しいと思われているとしたら、その原因はふたつある。ひとつはセキュアブレインが日本にあること。もうひとつはユーザー企業がセキュアブレインを正しく評価したことだ。


(註 1 )
PhishWall導入企業一覧 (2021 年 3 月現在 181 社)
https://www.securebrain.co.jp/products/phishwall/corporate.html


(註 2 )
株式会社セキュアブレイン 出願・保有特許一覧

2019/10/03 不正検知装置、不正検知ネットワークシステム、及び不正検知方法
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2019-168805/4501981DFDBF9036AFD758353968ED1E4EE7A177E7356CF69B46DD8320D5C7AF/11/ja

2017/09/14 不正処理解析装置、および不正処理解析方法
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2017-162042/DE77AD0CB8CB3D72791D100323DA350B2F6FC54CD57730011C97AF3A93B3039C/11/ja

2016/10/06 ネットワーク通信方法及びネットワーク通信システム
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2016-158908/BA60F71AA7278221020810915EFF894227303FB888AB4C15FC0426C4ABCDB3D8/19/ja

2016/04/04 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2015-162985/B9E72D1FE14ED66695EEF6EC44E8374D29AAD629E5BD398F28313BBFB33A587E/19/ja

2015/10/29 不正検知ネットワークシステム及び、不正検知方法
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2013-069758/5F3DB0D7FAB1C9575690C03C95A0D5F3A51121D4A58D510788AA93C2E2150060/19/ja

2013/05/16 不正アプリケーション検知システム及び、方法
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2008-269096/0E11C5B98D79AEBBE80D553BEA7C75775F017906DBAE1C63D8623EDAA4308656/11/ja

2008/11/06 認証システム及び認証プログラム
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2008-269096/0E11C5B98D79AEBBE80D553BEA7C75775F017906DBAE1C63D8623EDAA4308656/11/ja

2008/01/10 認証システム、認証方法、および認証プログラム
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2008-003754/76075A759CE46DC55137396E42B78B0EAFDCF4648B1A821249ADFDC9582BB31F/11/ja

2007/12/27 マルウェアの挙動解析システム
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2007-334536/A364CCEAF61923B20D4BABE5BA8523E5AB2ECDD623BFCD3A8A85BFBC179D19BE/11/ja

2007/09/13 偽造サイト検知方法およびコンピュータプログラム
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2007-233904/9A68B3309D18050B2D774704B62F9751125AFFD137641646CEAE2CD737599B35/11/ja

2007/06/21 プロアクティブな不正プログラム検出方法、検出装置及びコンピュータプログラム
https://www.j-platpat.inpit.go.jp/c1800/PU/JP-2007-157059/D30FCC0A5210B228A5308F5CBEC45810DB7139E89D76BB1E90F71AA4C24B4890/11/ja
《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×