勝手に偽造・変造されたモバイルバンクのアプリケーション(アプリ)がネット上で広まり、実際の取引に頻繁に使われていることが、確認の結果分かった。専門家らは、偽造・変造されたアプリが、ユーザーが気付かないうちに個人情報を流したり、第3者に金を振り込ませたりする「振り込め(フィッシング=phishing)」のツールとして悪用されかねないと警告している。しかし、大半の金融会社各社は、適切な対策が打てずにいるのが現状だ。
19日、東亜(トンア)日報が確認した農協中央会のスマートフォン金融アプリへのアクセス回数状況によると、偽造・変造されたアプリを通じたバンキングシステムへのアクセス回数が最近、1日平均で700件あまりに達している。農協中央会の関係者は、「偽造・変造されたアプリへによるアクセスを食い止めるため、年明けからのアクセス回数の現状について集計したところ、当初600件あまりだった1日平均アクセス回数が、今月に入り、700件あまりへと急増した」とし、「最近、自社内にシステムを構築し、偽造・変造アプリを通してのアクセスを完全に遮断している」と主張した。
他の都市銀行も、農協と同様の回数のアクセスがあるものと試算される。しかし、これらの大半の銀行は、アクセスを遮断するどころか、現状すら把握できずにいると言う。
それは一部のユーザーらが、金融取引に偽造・変造のアプリを使用するいわば、「脱獄(ルーティング)フォン」を使い始めているからだ。「脱獄フォン」とは、スピードを引き上げたり、有料アプリを無料でダウンロードするために改造されたスマートフォンのこと。都市銀行各行は、セキュリティ問題を掲げて、脱獄フォンでの金融取引を食い止めている。
昨年末、韓国著作権委員会のアンケートによると、スマートフォンユーザーの10人に一人は、脱獄の経験があることが分かった。スマートフォン業界は、実際はこれより一段と多い数のユーザーが、脱獄フォンを使っているものと試算している。
インターネットのポータルでは、簡単に偽造・変造された金融アプリを目にすることができる。ポータル検索欄に、「△△フォンでの○○銀行のアプリの使い方」、「スマートバンキング△△」などを打ち込めば、偽造・変造されたファイルや使い方が、数十件掲載される。このようなアプリを利用すれば、銀行が遮断しているセキュリティウォールを迂回し、バンキングシステムにアクセスすることができる。ユーザーが直接、偽造・変造しなくても、他の人が予め作っておいたアプリを設置すれば、金融取引ができる。
問題は、このような偽造・変造アプリに他の狙いを盛り込ませた命令語が入っていた場合、深刻な金融トラブルに見舞われかねないことだ。これまで報告された事例はないが、身に覚えのない口座に金を振り込まれたり、振込み限度を変えられたりする恐れがある。また、住民登録番号や口座番号、暗証番号などの個人情報を収集したり、特定の命令に従う「ゾンビフォン」に仕立てることもできる。
このようなリスクのため、金融当局は昨年10月、「電子金融監督規定」を見直し、金融会社各社が4月10日まで、偽造・変造のアプリに対する対策作りに乗り出すよう、定めている。昨年末現在、スマートフォンを通じてのモバイルバンキングユーザーが1000万人を越えるほど増えているからだ。しかし、大半の銀行ではまだ、目に見える対策を打ち出せずにいる。
ある都市銀行の関係者は、「インターネットバンキングのセキュリティ強化だけでも人出が足りず、モバイルバンキングまでは手が回らないのが現状だ」とし、「他の銀行も同様の事情を抱えているだろう」と打ち明けた。
匿名を求めた一人のセキュリティ関連教授は、「偽造・変造アプリを放置するのは、大規模な金融事故の起きかねない爆弾を抱えているのと同様だ」とし、「ソースコードの公開政策を保っているグーグルが、金融アプリについては、プログラムソースを簡単に偽造・変造できないよう、別途の認証を行っていることも解決方法になりうる」と主張した。
一部からは、脱獄フォンのユーザーらにも、正式なアプリを使わせるべきだと言う意見も出ている。今のところ、脱獄フォンを通じてのバンキングシステムへのアクセス自体を遮断しており、脱獄フォンのユーザーらは偽造・変造のアプリを求めざるを得ないと言う。
kyu@donga.com
About Dong-A Ilbo