PR

 オンラインバンキングの不正送金による被害が、2014年に入って深刻化している。警察庁 情報技術犯罪対策課の吉田光広課長補佐は、2014年3月13日に産業技術総合研究所が開催した「第2回セキュアシステムシンポジウム」で、不正送金の被害額が2014年1月~2月の2カ月で6億円に上ることを明らかにした。

 2013年の被害額は約14億円で過去最悪だったが、これを上回るペースで被害が拡大していることになる。吉田氏は「JavaやInternet Explorerを最新版にアップデートする、ウイルス対策ソフトを入れるなどの基本的な対策で、かなりの被害は防げる」として注意を呼びかけた。

 吉田氏によると、不正送金の手口の大半は、PCに侵入したウイルスにWebブラウザーの画面を改ざんされ、パスワードなどの情報を盗まれる「Webインジェクト攻撃」だという。Webブラウザーを乗っ取って偽のオンラインバンキング画面を表示し、利用者にパスワード、乱数表、秘密の質問と答えといった情報を入力させるものだ。

 例えば最初の偽画面には、通常のオンラインバンキング画面と同じく『ウイルスに注意して下さい』などの注意書きを載せる。ログインしようとすると、まず乱数表の1行目を聞いてくる。それを入力すると2行目を聞いてくる、といった具合だ。「こんな簡単な手口でも、相当な数の利用者が引っかかっているのが現状」(吉田氏)。

 ウイルスの侵入経路のほとんどは、あるWebサイトを閲覧したPCに自動的にウイルスを感染させる「ドライブ・バイ・ダウンロード」だ。正規のWebサイトを改ざんしたり、偽メールで悪意あるサイトに誘導したりすることで、JavaやInternet Explorerの脆弱性を突き、自動的に「Zeus」や「SpyEye」といったWebインジェクト型ウイルスに感染させる。

 吉田氏によると、不正送金で被害を受けた利用者の多くは、ウイルス対策ソフトの導入や、ソフトのアップデートといった対策を取っていなかったという。「調査したPCの中には、ウイルスが30種類以上入っていて、どのウイルスが悪さをしたのか分からなかったものもあった」(吉田氏)。

 警察庁も、不正送金攻撃に対して取り締まりを強化している。2013年7月には、ウイルスに指令を送る国内のC&C(コマンド・アンド・コントロール)サーバーを特定。ログを解析すると、7月14日~20日の間に1万5000のIPアドレスから2万7000件のアクセスがあったことが判明した。警察庁は全国のプロバイダーを通じ、そのIPアドレスの利用者に「ウイルスに感染している可能性がある」と注意喚起したという。