1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第5回 基本的な対策と情報収集がキモ! ネットバンキング不正送金被害を防ぐポイントについて聞いてみた
このエントリーをはてなブックマークに追加 Clip to Evernote Yahoo!ブックマークに登録 このエントリをBuzzurlに登録 Buzzurlブックマーク数 Google+

辻 伸弘のセキュリティ防衛隊

第5回 基本的な対策と情報収集がキモ! ネットバンキング不正送金被害を防ぐポイントについて聞いてみた(1/3)

警察庁の発表で、2014年上半期(2014年1月〜6月)の被害額が約18億円にのぼるといわれるインターネットバンキングの不正送金問題。今後、欧米並みの被害額のレベルにまで拡大していくことも予想されます。

今回は、攻撃の最新事情から対策のポイント、安全にネットバンキングを利用するためのポイントなどについて、「セキュリティ防衛隊」の辻さんに解説していただきます。

ネットバンキングの不正送金事件の最新動向とは

★ 辻さん今回もよろしくお願いします。今回はネットバンキングの不正送金問題がテーマです。
辻 伸弘隊長

こちらこそよろしくお願いします。ネットバンキングの不正送金事件は、2014年1月〜6月の発生件数が1,254件、被害額は約18億5,200万円にのぼることが、警察庁の発表で分かっています。

ちなみに、海外の事例では、2012年に「オペレーション・ハイ・ローラー」(ハイ・ローラーという言葉自体は「贅沢な暮らしをする人」や「むちゃな賭けをする人」という意味です)
という大規模な不正送金事件が起きました。このときの被害額は、ヨーロッパ全体で約60億円から約2,000億円といわれていて、日本も近い将来、海外の被害レベルに追いつくのではないかと言われています。

★ 被害が拡大している現状についてもう少し詳しく教えてください。
辻 伸弘隊長

はい。不正送金事件に係る手口としては大きく「フィッシングによるもの」「マルウェア感染によるもの」の2つに分けられます。

フィッシングは、ユーザーを偽サイトに誘導し、金融機関などのサイトにログインするID、パスワードや、送金などの重要な処理に必要な情報(予め配布されたカードに記載された「お客様情報」「第2認証」などと呼ばれる乱数表の数字など)を盗み出そうとする手口です。

★ 偽サイトに誘導するフィッシングの手口ですか?
辻 伸弘隊長

そうです。フィッシングサイトは本物そっくりに作ってあるので見分けることは困難です。現在も、乱数表の数字を全部埋めるよう促される画面が表示されるというものをよく見かけます。

★ ユーザーが見分けるためのポイントというのはあるのですか?
辻 伸弘隊長

なかなか難しいのですが、正規の金融機関のサイトでは、アドレスバーのところが「EV SSL」に対応していて緑色に変わるとか、あとはURLを目視確認するくらいしか方法がありません。

また、「見分ける」というのとは違うかもしれませんが、被害に遭ったかもしれないことに「気づける」ポイントとして、正規のサイトでの正常なページの振る舞いを知るということが挙げられます。

★ どういうことでしょう?
辻 伸弘隊長

例えば、フィッシングサイトの中には、偽ページで情報を入力し、送信した後、本物のサイトにリダイレクトするような挙動をするものがあります。本物のサイトだとエラーメッセージが表示されるはずのものが、表示されないわけです。つまり、日頃から本物の挙動を知っていれば、偽物の挙動で「おかしい」と気付くきっかけとなることが考えられます。

もちろん、この場合、偽ページでいくつかの情報を入力してしまい、窃取されてしまう可能性がありますが、すぐに金融機関や警察などの関係組織に通報することで、被害に遭うことを避けることができる場合があります。

★ 日頃から利用する金融機関のサイトをよく見ておく必要があるのですね。その他に「フィッシング」のポイントはありますか?
辻 伸弘隊長

そうですね。海外の事例では、金融機関側に不審な取引と検知されないようにするためや、本人に発覚するのを遅らせるために、口座の預金額全額を別口座に送金するのではなく、そのうちの数%だけを送金するという事例もあるようです。

★ なるほど。では、マルウェア感染による手口について教えてください。
辻 伸弘隊長

マルウェア感染の怖いところは、パソコン内に保存された情報や入力した情報はほぼ全て盗まれてしまいますし、人がパソコンを使って行えることのほぼ全ては、マルウェアに実行されてしまうところです。

マルウェアによる手口には、感染後、普段は身を潜めているのですが、ユーザーが特定のサイト(金融機関等)にアクセスしたときに、特定のHTMLを表示させるという特徴があります。このように、偽のページを挿入することから「Webインジェクション系」と呼ばれることもあります。マルウェアに感染すると、被害者は本物のサイトにアクセスしているものの、「パスワードの有効期限が切れました」「新しいパスワードに変更してください」というような偽のポップアップが表示されるのですね。

★ 気づかないうちに偽のページが表示されているのは怖いですね。
辻 伸弘隊長

マルウェア感染の厄介なところは、マルウェア自身の設定情報が随時アップデートされることです。ユーザーのパソコンはネットワークに接続されていますから、ネットワークを介して、「このドメインにアクセスしたときにこの画面を表示する」という情報が随時更新されていきます。言うなれば、ユーザーのパソコンが攻撃者の意のままに操られる状態になってしまうのです。

★ マルウェア感染の手口には他にも特徴がありますか?
辻 伸弘隊長

「Webインジェクション系」のほかに、「MITB(マン・イン・ザ・ブラウザー)系」と呼ばれる攻撃もあります。これは、マルウェアに感染すると、ユーザーのブラウザーの通信内容が改ざんされてしまうというものです。

例えば、正規のページからユーザーが「Aさんに振り込みます」という処理をしたら、Aさんに振り込まれたという結果画面がブラウザーに表示され、口座番号や金額などが表示されます。しかし、実際の通信では別のBさんという口座に送金されています。このように、送金処理を乗っ取るのがMITB系の特徴です。「Webインジェクション系」と「MITB系」を混同した表現がされることがありますが、それぞれは別物であるということを覚えていただきたいと思います。

★ 知らない間に通信内容が書き換えられてしまうのは怖いですね。
辻 伸弘隊長

はい。MITB攻撃はユーザーが被害に気づきにくい上に、ユーザー認証が成功した後のブラウザー(による処理)が乗っ取られてしまうので、ワンタイムパスワードなどの強固なユーザー認証を導入していても防ぎきれない点が厄介です。幸い、日本の銀行をターゲットにしたMITB攻撃は今のところ確認されていません。もちろん、まだ発覚していないだけという可能性もありますが、今後、上述したようなフィッシングや、Webインジェクション系の手口が知れ渡り、対策が進むようになると、MITB系の手口が広がってくるかもしれません。

関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji