セキュリティ組織の米SANS Instituteは現地時間8月4日,銀行などが講じるセキュリティ対策を回避するフィッシングやマルウエア(悪質なプログラム)が次々と出現しているとして注意を呼びかけた。
金融機関などのWebサイトでは,なりすましなどを防ぐためにさまざまなセキュリティ対策を導入している。例えば,ワンタイム・パスワードやデジタル証明書(PKI)である。それに伴い,攻撃者側も“工夫”を凝らすようになり,そういったセキュリティ対策を回避する,あるいは逆手にとるような攻撃方法が出現しているという。
その一例として挙げているのが,7月に確認されたフィッシング詐欺(関連記事:ワンタイム・パスワードでは防げない“中間者攻撃フィッシング”が出現)。「中間者攻撃(man-in-the-middle attack)」タイプのフィッシング詐欺であり,ワンタイム・パスワードなどの2要素(2因子)認証を使っていても防げないとされている。
あるメディアがこのフィッシング詐欺を「Phishing 2.0」と報じたのを受けて,SANS Instituteのスタッフは,「Banker 2.0」と呼べるマルウエアも確認されているとする。
Banker 2.0とは,オンライン・バンキングで使用するパスワードやデジタル証明書などを盗む,新しいタイプのマルウエアであるという。米McAfeeが「PWS-Banker.gen.t!a16634c3」と命名しているこのマルウエアの特徴は,デジタル証明書をアップデートするプログラムに見せかけること。ターゲットは,セキュリティ対策としてデジタル証明書を導入している南米のある銀行のユーザー。マルウエアは,その銀行をかたったメールに添付されて送信される。メールには,デジタル証明書をアップデートするために,そのマルウエアを実行するよう記述されている。
ユーザーがそのマルウエアを実行すると,パソコン中のデジタル証明書へアクセスするためのパスワード入力が求められる。入力したパスワードは,Gmailの特定アドレスにメールで送信される。同時に,パソコン中のデジタル証明書(拡張子が.keyおよび.crtのファイルすべて)がそのアドレスに送信されて,攻撃者に盗まれるという。
・米SANS Instituteの情報
・米McAfeeの情報
