全3316文字
PR
本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。

 メガバンクなど国内3行のインターネットバンキングで2012年10月から11月にかけ、総額420万円が不正に引き出される事件が発生した。欧米では似た手口で既に2000億円規模の被害を出した。正規の銀行サイトで発生した事件を前に、金融機関各社の対策は急務だ。

 「不正にポップアップ画面を表示させてインターネットバンキングの情報を盗み取ろうとする犯罪にご注意下さい」。

 国内金融機関は2012年11月上旬、新手のフィッシング詐欺について警告する告知を一斉公開した。10月から11月にかけ、ネットバンキング利用者のWebブラウザーに偽のポップアップ画面を表示させて認証情報をだまし取る事件が多発したためだ。

 不正なポップアップ画面の表示が確認されたのは、ゆうちょ銀行、三井住友銀行、三菱東京UFJ銀行、みずほ銀行、楽天銀行、住信SBIネット銀行の6行と、クレジットカード会社の三菱UFJニコスだ。警察庁によれば、不正画面にパスワードを入力した利用者は11月9日時点で364人に上る。このうち三井住友、みずほ、楽天の3行では、合計5口座から総額420万円が不正に引き出された。

 今回の事件には、これまでのフィッシング詐欺とは根本的に異なる点がある。利用者がアクセスしたのが、正規の銀行サイトだった点だ。一般的なフィッシング詐欺は、本物に似せた別サイトに利用者を誘導し、IDやパスワードをだまし取る。これに対して今回の事件では、利用者のPCに感染したウイルスが、正規サイトから受信したHTMLを改ざんし、偽のポップアップ画面を表示した。

 利用者は正規サイトを参照しているので、アクセス先が正規サイトであることを証明する「SSL証明書」のほか、Webブラウザーやセキュリティソフトが備える「フィッシング詐欺検知機能」はほとんど無力だった。使われたウイルスはいずれも新種で、ウイルス対策ソフトでは発見できなかった。

 正規サイトとの通信を改ざんして認証情報を盗み取る手口は、欧州を中心に全世界で最大2000億円もの被害を出したとされる金融詐欺事件「Operation High Roller」と同じものだ。同攻撃で使われたウイルスは、ワンタイムパスワードやICカード認証といった「2要素認証」すら無効化させる機能を備えていた。こうした大規模な金融詐欺は今後、国内でも発生しかねない。その対策のために、国内と海外で発生した事件の詳細を解説する。

HTMLを改ざんし偽画面を表示

 国内でポップアップ型フィッシング詐欺を引き起こしたウイルスは、利用者が特定の銀行サイトにアクセスしたことを検知して行動を開始する。

 ウイルスを分析したセキュアブレインによれば、このウイルスは銀行サイトからWebブラウザーが受信したHTMLを改ざんし、不正なスクリプトを挿入する機能を持つという。Webブラウザーには従来通りログイン画面が表示されるが、利用者がIDとパスワードを入力して「次へ」ボタンを押すと、挿入したスクリプトにより不正なポップアップ画面が表示される。同画面では「身分を確かめるため」と称し、振り込みに必要な「第2パスワード」や「乱数表」、「秘密の質問とその答え」の入力を求める。

 利用者が騙されて入力すると、ウイルスはキーロガー機能や画面キャプチャー機能で認証情報を入手し、ウクライナにあるレンタルサーバーに送信する。

 銀行サイトはいずれもHTTPSによるSSL通信でデータを保護しているが、詐欺を防ぐことはできなかった。SSL通信が保護しているのは、あくまでPCとサーバーとの通信路だけだからだ。

 米グーグルで同社製Webブラウザー「Chrome」のセキュリティを担当するイアン・フェッティシニアプロダクトマネージャーは、次のように述べる。「PCにウイルスが侵入した後では、Webブラウザーにできる防護策はほとんどない」。SSL通信だから安全だという発想は危険だ。