サイバー犯罪者に狙われる銀行間通信網「SWIFT」（後編）

November 24, 2017 08:00
by 江添 佳代子

　
→前編はこちら

SWIFT（スイフト）の顧客の脆弱性を狙った複数のエクスプロイトが発生している。その不都合な事例を示してまで、SWIFTが顧客への注意喚起を行ったとき、金融機関の担当者の一部は「ここまでSWIFTが真剣に訴えているなら、バングラデシュ中銀の不正送金と同じような詐欺は何度か起こるのではないか」と考えただろう。その予想は当たっていた。

「バングラデシュ中銀」に続く第二の事件

警告の翌月にあたる2016年5月12日には、『The New York Times』が「SWIFTに関連した第二のサイバー攻撃」のニュースを報じた。このアタックは、SWIFTが顧客に送った書簡の中で、「ある商業銀行を狙った攻撃」として説明されたものだった。SWIFTはThe New York Times の取材に対し、被害者の特定を避けただけでなく、どの国の金融機関がどの程度の被害を受けたのか、実際に不正送金が起きたのかどうかも明らかにしなかった。

このときSWIFTの広報担当者は、前回の攻撃（バングラディシュ中銀）と今回の攻撃に多くの類似点があったと指摘し、それらは「銀行を標的とした、広範かつ適応性の高い攻撃活動」の一環だった可能性が非常に高いと説明した。またSWIFTは翌13日、「顧客のセキュリティ問題」を説明したプレスリリースの中で次のように記した。
「その攻撃者たちは、標的とした銀行における特定的な運用管理について、洗練された深い知識──悪意ある内部犯行者によって、またはサイバー攻撃によって、あるいはその両方によって得られた知識──を持っていた、ということが明らかに示されている」

「顧客のセキュリティ問題」を説明したSWIFTのプレスリリース

その数日後の5月15日には、ベトナムの銀行Tien Phong Bankが、SWIFTの顧客を狙う攻撃活動の新たな被害者になったというニュースを『CNBC』が報じた。SWIFTが12日に報告していた「ある商業銀行」の事件と、この事件が同一のものかどうかは、SWIFTがコメントを拒否したため確認されていない。だが多くのメディアは、このTien Phong Bankに対する攻撃を「SWIFTの顧客を狙った第二の事件」と呼んだ。ただしこの事件では、SWIFTを経由して100万ユーロ（約1.3億円）の不正な送金のリクエストが送られたものの、現場の判断によって送金が未然に防がれている。

SWIFTは最善を尽くしたのか？

その事件が話題となっていた頃、一部のセキュリティ専門家は「組織としてのSWIFTの姿勢」も改善すべき点があるのではないかと指摘していた。前編でも述べたように、問題のマルウェアは「脆弱な環境でSWIFTを運用している顧客（金融機関）」の端末を狙って侵入するものであり、SWIFTそのものへの侵害を試みるのではない。しかし、SWIFTは顧客が安全な環境でサービスを利用できるように最善を尽くしているのか？　という点が論点となった。

たとえばESETのシニアセキュリティ研究者ステファン・コブは、バングラデシュ中銀の事件について次のようにコメントした。
「SWIFTは、このセキュリティ違反に対応してソフトウェアを改善した。しかし緊急に必要とされているのは、『利用者のセキュリティに対する有意義な監査』だ」

SWIFTの示しているガイドラインが、そもそも時代遅れなのではないかという声もあった。英国メディア『The Register』は5月16日の記事で、セキュリティ企業Skyport Systemsの意見を掲載した。SWIFTのガイドラインを分析した同社のVPは、それが「10年前に流行したような攻撃」に取り組もうとする内容だと語り、洗練された昨今のハッキングは防御できないと結論づけた。さらに同社は、より新しい攻撃に対応できるよう具体的なガイドラインを示し、「これをSWIFTのユーザーが遵守すれば、おそらく最新のハッキングでも回避できる」と主張した。彼らのアドバイスの詳しい内容は、同社のブログで読むことができる。

また、「どうしてSWIFTは顧客に2要素認証を義務づけないのだ？」という指摘もあった。バングラデシュ中銀の事件でも示されたように、SWIFTの顧客を狙う犯行グループは非常に高度な攻撃を行っているので、もちろん「サービス側の2要素認証さえ行えば安全」ということではない。このような攻撃を未然に防ぐには、各顧客が強固なセキュリティ対策をすることが大前提だ。とはいえ巨額の取引を行っているはずの金融機関が、「ちょっと慎重な個人ですら利用している2要素認証」を利用しなくとも、SWIFTで送金を指示できるというのはたしかにおかしな話だろう。

これらの指摘を踏まえたのかどうかはわからないが、SWIFTは2016年5月27日、サービスのセキュリティ強化について伝えるプレスリリースを発表した。そこには「当社のインターフェイス製品は2要素認証をサポートしていますが、それをさらに拡大し、また、さらなるツールを追加します」などの表記もある。

第三の事件は2015年に起きていた

こうしてSWIFTが自らのセキュリティ強化に取り組んでいる間にも、攻撃の報告は続いた。2016年5月後半には、SWIFT関連の第三の事件として「エクアドルの銀行Banco del Austro（以下BDA）から香港、ドバイ、ニューヨーク、ロサンゼルスの口座に約1200万ドルが不正送金された」というニュースを『ロイター』や『The Wall Street Journal』が報じた。

実は、その被害が発生したのはバングラデシュ中銀の事件よりも前だったので、「第三の」と呼ぶのは適切ではないかもしれない。しかし先述の2つの事件との共通点が多いため、「おそらくはSWIFTの加入者を狙った同一犯の犯行として、三番目（に報じられた事件）」という扱いになっている。

サンフランシスコを拠点とする銀行Wells Fargoが、「BDAからの送金依頼（にしか見えない不正なメッセージ）」をSWIFT経由で受け取ったのは2015年1月12日だった。その依頼を受理したWells Fargoは、それから10日間に渡って1200万ドル（約13.4億円）分のBDAの資金を世界中の口座に送金した。事件に気づいたBDAは、Wells Fargoを相手に訴訟を起こした。その法廷文書によれば、Wells Fargoは「BDAのSWIFTのクレデンシャルがハッカーに奪われたのだ」とも語っていたという。

サイバー攻撃の被害を熱心に報告してきたはずのSWIFTが、なぜ2015年のBDAの事件には一度も言及してこなかったのか？　それは単に「知らなかったから」だった。実はSWIFTは、BDA事件のサイバー攻撃に関してロイターから質問を受けたとき、その不正送金のことを初めて聞いたと語っている。それが本当であるなら、BDAとWells Fargoは一年以上もの間、SWIFTに何も報告していなかった。彼らは「この深刻なサイバー攻撃の情報を、加入者同士で共有しなければ大変なことになる」とは考えていなかったのだろう。

第四、第五の事件が明るみに

一連の攻撃活動はまだまだ続くのだが、すべてを網羅するのは大変なので、残りの事件の一部を駆け足で紹介しよう。2016年5月終盤、SWIFT加入者を狙ったハッキング活動の「第四の事件」として報じられたのは、フィリピンの銀行を舞台としたものだった。こちらも「四番目に報じられた」ものの、実際には2015年に発生していた事件だと考えられている。

そして翌月の6月末、おそらくは「第五の被害者」だとしてウクライナの銀行で起きた1000万ドル（約11.2億円）ほどの不正送金の事件が報じられたが、このあたりから記事のタイトルに「×番目」と記さないメディアが増えてきた。

短期間のうちに続々と発覚する一連の事件（しかも時系列はとっくに崩れている）に、いちいちナンバリングをするのが面倒になったのかもしれない。それからも複数の国の金融機関を舞台として、SWIFTを悪用するサイバー攻撃の報道が続いたのだが、「今回はSWIFT報道の何番目なのか」「どの事件（銀行名が伏せられたもの）と、どの事件（銀行名が明らかになっているもの）が同一なのか」といった話題は次第に語られなくなっていった。

最新の事件と、より全般的な「SWIFTの問題点」

そして2017年11月には「最新の事件」という大雑把な表現で、ネパールの銀行NIC Asia Bankの不正送金事件が報じられた。犯人はSWIFTを悪用し、約4億6000万ルピー（約8億円）の不正な送金指示を出したと報じられている。しかし幸いにもNIC Asia Bankは、その不審な送金に気づくことができた。すぐさま中央銀行や他銀行に連絡し、彼らの協力を得たNIC Asia Bankは、結果として多くの被害を阻止することに成功した。おかげで彼らの実際の損失金額は6000万ルピー（約1億円）ほどで済んだ。つまり4億ルピーは無事に回収されている。

NIC Asia Bankは事件の発覚後、世界に名だたる知的専門家集団KPMG の支援を受けてフォレンジック調査を実施し、その途中経過の報告書をNepal Rastra Bank（ネパールの中央銀行）に提出した。さらに、この調査で得られた情報をCIB（Central Investigation Bureau of Nepal Police、ネパール警察の中央調査局）とも共有し、犯人追跡の協力を仰いだ。こうして現在でも複数の機関が、NIC Asia Bank事件の調査を同時に行っている。そのうちの一つの調査によれば、NIC Asia BankでSWIFTを取り扱っていたスタッフは、その「SWIFT専用の端末」を別の目的でも利用していたという。そのためSWIFTの運営を担当していた6人のスタッフは全員、他部署へ異動させられた。

2017年11月の被害者となったNIC Asia Bankは、不正送金の被害に素早く気づき、状況を正しく判断して対応したうえ、事件のあとにも迅速な調査を行った。さらにその結果をしかるべき機関に報告し、情報をシェアするよう努めた点も優秀だった。2016年1月以降、SWIFTが何度となく行ってきた注意喚起やセキュリティ改善の努力も、その対処に貢献したのかもしれない。しかし、これまで幾度も繰り返されてきた一連のサイバー攻撃で新たな被害が起きたことは、やはり残念な事実として深刻に受け止めるべきだろう。

世界中の金融機関に利用されているSWIFTは、もはや国際的な取引には欠かすことのできない重要なメッセージングサービスとなっている。そうであるにも関わらず、運用の安全性は「それぞれの顧客（金融機関）」のセキュリティ環境に頼らざるをえない部分が多く、また事件が発生したときの対応も「それぞれの被害者」に大きく委ねられている。

ここで思い出されるのはESETのステファン・コブのコメントだ。彼はバングラデシュ中銀の事件が起きたときから、「（SWIFTの）利用者のセキュリティに対する有意義な監査」を急ぐべきだと語っていた。つまり、すべての顧客に強固なセキュリティ対策を強要するための措置がなければ事故は防げない。それはもっともなのだが、「誰が」それを現実的に実施できるのかが問題となる。SWIFTは監査法人でも法執行機関でもないので、世界中の国々の中央銀行（つまり日銀と同等）に対して強制的な抜き打ち審査を行ったり、あるいはガイドラインを遵守していない商業銀行に厳しい罰則を科したりすることは難しいはずだ。実際のところBDAとWells Fargoは、サイバー攻撃による損害が発生して裁判沙汰になったときでさえ、SWIFTへの報告の義務があるとは考えていなかった。

少し意地悪な表現をするなら、「サービスを提供している組織」としてのSWIFTには、200ヵ国以上に散らばった1万以上の金融機関を統率できるほどの権限がないだろう。その統制の取れていないシステムが世界中で信頼され、巨額の金融取引に利用されている状況は、冷静に考えると恐ろしいものがある。SWIFTの顧客を狙って高度なマルウェアを開発した犯罪者たちは、この「SWIFT全体の問題点」を熟知していたのかもしれない。