PR

 2012年10月下旬から11月上旬にかけて、大手銀行のネットバンクやカード会社のWebサービスにおいて、偽の情報入力画面が表示される事件が相次いだ。

 偽画面が確認されているのは、ゆうちょ銀行、三井住友銀行、みずほ銀行、楽天銀行、住信SBIネット銀行のネットバンク。カード会社である三菱UFJニコスのWebサイトでも確認されている。

 偽画面を表示しているのは、パソコン上で動作するウイルス(マルウエア)。目的は、ネットバンクの暗証番号などを盗むこと。問題のウイルスを入手して解析したセキュアブレインによれば、次のように動作するという(図1)。

 ウイルスはまず、ユーザーのWebアクセスを監視。ユーザーが特定のネットバンクにアクセスすると、ウイルスはWebブラウザーのプログラム(プロセス)に割り込み、ネットバンクのサーバーから送られてきたWebページのデータ(HTMLファイル)を改ざん。偽のポップアップ画面を表示させるコード(プログラム)を追加する(図1-1)。Webブラウザーは、正規のWebサイトから送られてきたHTMLファイルの一部として解釈し、偽のポップアップ画面を表示する(図1-2)。

●正規の画面をウイルスが改ざん、偽のポップアップ画面を追加する
図1 偽の情報入力画面を表示するウイルスの挙動イメージ(画像はセキュアブレイン提供)。パソコンに感染しているウイルスは、正規のWebサイトから送られてきたHTMLファイルを改ざんして、偽画面を表示させる。偽画面に入力された情報の送信先には、攻撃者のサーバーが指定されている
図1 偽の情報入力画面を表示するウイルスの挙動イメージ(画像はセキュアブレイン提供)。パソコンに感染しているウイルスは、正規のWebサイトから送られてきたHTMLファイルを改ざんして、偽画面を表示させる。偽画面に入力された情報の送信先には、攻撃者のサーバーが指定されている
[画像のクリックで拡大表示]

フィッシングとは異なる

 偽サイトに誘導して情報を盗む「フィッシング」とは異なり、Webブラウザーには正規サイトのURL(アドレス)が表示されるので、見抜くことが難しい。

 加えて、偽のポップアップ画面には、アクセスしているWebサイトに合わせた銀行のロゴなどが表示されるので、本物のように思える。

 偽の画面に入力した暗証番号などは、攻撃者の用意するサーバーに送信されて盗まれる(図1-3)。実際、偽画面によって盗まれた暗証番号が悪用され、不正な送金が行われたとされている。警察庁などの情報によれば、合計で400万円以上が不正に送金され、100万円以上が引き出されたという。

 今回のような手口で暗証番号を盗むウイルスは珍しくない。以前から出回っており、海外では大きな被害を及ぼしている。「日本のネットバンクを狙ったウイルスも過去に出現している」(セキュアブレインの神薗雅紀主任研究員)。今回話題になったのは、同時に多数出回り、実害をもたらしたためだ。

 被害に遭わないためには、ウイルス対策が第一。「ウイルス対策ソフトを利用する」「提供元を信頼できないファイルは開かない」「利用しているソフトウエアの脆弱性を解消する」といった基本的な対策を確実に実施するしかない。神薗氏によれば、ウイルス対策ソフトによっては、数カ月前の時点で今回のウイルスを検出および駆除できたという。