ネットバンキング利用者のID/パスワードを盗み不正送金する事件が、全国の多数の金融機関で発生している。2011年3月から同11月までの被害金額は、約3億円にのぼった。攻撃者がID/パスワードを盗み取る方法は、スパイウェア型、フィッシング型、入力フォーム型の3つがある。それぞれの手口を知って、予防対策を実施していただきたい。
<INDEX>
■ネットバンキングの被害多発
★コラム:不正送金の逮捕例
■ネットバンキングの不正送金「3つの手口」
(1)スパイウェア型
・危険なウイルス「SpyEye(スパイアイ)」
・ドライブバイダウンロード攻撃/メール攻撃
★コラム:狙われる脆弱性~JAVA、Adobe Reader/Acrobat
(2)フィッシング型
(3)入力フォーム型
■被害を未然に防ぐ対策
・OS、アプリケーション、対策ソフトを常に最新版に
・金融機関ではありえない偽メール/偽サイトを見分ける
・ワンタイムパスワードの利用
<本文>
ネットセキュリティニュース編集部では、国内ブランドのフィッシングメールやフィッシングサイトについて継続的に観測し、「国内フィッシング事情」として毎月連載している。同記事を振り返ると、昨年9月以降は毎回、国内銀行をかたるフィッシングメールが出回っていること、国内銀行のフィッシングサイトが観察されたことを伝えている。これまで、国内銀行をかたる偽サイトがここまで数多く継続して観測されたことはなかった。
昨年12月に発表された警察庁の資料(注1)は、この観測結果と符合していた。インターネットを使った不正送金事件が、国内銀行で多数発生していたのだ。2011年3月から同11月までの間、ネットバンキングのID/パスワードが盗まれて他者の口座に不正送金された事件は、35都道府県の56の金融機関の160口座(未遂40口座含む)で発生し、被害金額は約3億円にのぼっていた。
警察庁は、ネットバンキングの不正送金で逮捕した2つの例を紹介している。
1つは、2011年8月8日、大阪府内の金融機関のネットバンキングを利用する法人が、管理していたID/パスワードで不正アクセスされ、別の金融機関の口座へ800万円が不正送金された。不正送金先口座の名義人(現金引出人)、現金の運び屋、両者に犯行を指示した者を、埼玉県警が9月26日から11月17日までに逮捕した。
もう1つは、2011年8月31日、東京都内の金融機関のネットバンキングを利用する法人が、管理していたID/パスワードで不正アクセスされ、別の金融機関の口座へ100万円が不正送金された。10月17日に、警視庁が現金引出人を逮捕している。
警察庁資料には、ID/パスワードを盗み出す手口の変遷が示されている(図1)。昨年3月から9月までは、ウイルス感染(不正プログラム)によりID/パスワードが盗まれる例が圧倒的多数だが、9月以降には「新たな手口」を使ったフィッシングによるID/パスワード詐取が顕著となっている。それぞれの手口を見てみよう。
図1 不正送金の1週間ごとの発生状況(2011年3月21日~同11月13日)
出所:警察庁「インターネットバンキングに係る不正アクセス禁止法違反等事件の発生状況等について」(2011年12月15日)
スパイウェア型は、警察庁資料では「ウイルス」による被害として、図1の青の棒グラフで示されている。赤の棒グラフで示されているのは「フィッシング」による被害だ。フィッシングによる犯行では、2金融機関の24口座から約2000万円の被害が出ているのに対し、ウイルス感染による犯行では、54金融機関の136口座から約2億8200万円の被害が出ている。
この多額の被害を出したスパイウェア型犯行の手口は、ネットバンキング利用者のパソコンに不正プログラム(ウイルス/スパイウェア)を送り込み、利用者が知らない間にID/パスワードを盗み出す。その盗み出したアカウント情報を使ってネットバンクの口座に不正アクセスし、あらかじめ用意しておいた他人名義の口座へ不正送金する(図2)。
図2 ネットバンキングの不正送金-不正プログラム(ウイルス)による犯行
出所:警察庁「インターネットバンキングに係る不正アクセス禁止法違反等事件の発生状況等について」(2011年12月15日)
・危険なウイルス「SpyEye(スパイアイ)」
日本IBMの東京セキュリティ・オペレーション・センター(SOC)が発行する「東京SOCレポート」(注2)は、ネットバンキングのアカウント情報を盗み出すウイルスの代表例として、Zeus(Zbot)、Trojan Banker、SpyEyeの3つを挙げている。なかでもSpyEye(スパイアイ)は、頻繁に機能追加のバージョンアップを行っている危険なウイルスだ。同レポートによれば、2011年4月10日頃からSpyEyeバージョン1.2.80の感染が増加し、8月に入ると新バージョン1.3.45 が感染を広げ始めた。
情報処理推進機構(IPA)は、昨年9月、この新バージョン1.3.45のSpyEyeを入手して、どのような動作をするのかを確認し、報告している(注3)。それによると、SpyEye感染後に、2つの動作が確認された。1つは、利用者が閲覧中のWebサイトで入力したID とパスワードを窃取すること。もう1つは、窃取した情報をネット経由でウイルス作成者が管理しているサーバーに送信すること。このサーバーは、ボットに感染したパソコンを操作するサーバーで、SpyEyeに感染したパソコンは、ボット機能により、SpyEye をつねに新しいウイルスに置き換えることが可能だ。このためウイルス対策ソフトで検知しにくく、長い期間感染させて必要な情報を窃取することが可能になる。
・ドライブバイダウンロード攻撃/メール攻撃
SpyEye の主な感染手口としては、Webサイトを閲覧しただけで感染させる「ドライブバイダウンロード攻撃」と、感染ファイルを添付したメールを送りつけて感染させる手口の2つが考えられている。ドライブバイダウンロード攻撃は、図3のように、利用者のパソコンのOS やアプリケーションなどの脆弱性を悪用して行われる。
図3 ドライブバイダウンロード攻撃の流れ
出所 IPA「あなたの銀行口座も狙われている!?」SpyEye(スパイアイ)ウイルスに注意!」(2011年9月)
感染ファイルの添付メールを送りつけて感染させる手口では、送信元を詐称し、タイトルや添付ファイル名、メール本文などを巧みに作り、利用者を騙して添付ファイルを開かせようとする。
★コラム:狙われる脆弱性~JAVA、Adobe Reader/Acrobat
ドライブバイダウンロード攻撃は、改ざんしたWeb サイトを閲覧したパソコンを攻撃サーバーへリダイレクトし、パソコンの脆弱性を突いてウイルスに感染させる。東京SOCレポート(注2)によれば、2011年上半期では、攻撃対象となった脆弱性にはゼロデイ攻撃の悪用はなく、すべて既知の脆弱性を突くものだった。つまり、公開された修正パッチを適用していれば、防ぐことができる攻撃だった。
もっとも多く悪用されているのは Java の脆弱性で、この傾向は2010年頃から続いており、2011年上半期では、SOCが検知したドライブバイダウンロード攻撃の約8割がJavaを対象としていた。攻撃を受ける端末のうち、約6割がJava、約3割がAdobe Reader/Acrobatのアップデートを行っていないために影響を受けた。つまり、全体の約9割が、サードパーティ・アプリケーションのアップデートを行っていないために影響を受けたことになる。これらのアプリケーションのパッチ未適用が、ウイルス感染の主な原因となっている。
この型は、銀行を装った偽メールをばら撒き、「セキュリティ向上のため」などと偽ってメールに記載したURLをクリックさせ、銀行のサイトそっくりに作った偽サイトに誘い込む。この偽サイトでネットバンクの取引に必要なアカウント情報と乱数表を入力させ、丸ごと盗み取る(図4)。盗み取った情報を使ってネットバンクに不正アクセスし、あらかじめ用意しておいた他者の口座へ送金する。
図4 フィッシングサイトでアカウント情報と乱数表の入力を促す
編集部は昨年、この手口による大手都市銀行のフィッシングサイトを、9月に2件、10月に3件、11月に9件、12月に4件、今年1月に4件、観測している。12月のフィッシングは、英文メールを使って日本語の偽サイトに誘導し、ログインアカウントだけを詐取する、ちょっと変わったタイプだった。今年1月の攻撃は、日本語メールで日本語の偽サイトに誘導し、アカウント情報だけでなく乱数表まで詐取する、一連のフィッシングと同じ手口だった。
警察庁資料では、入力フォーム型も上記フィッシング型と同じく「フィッシングによる犯行」に含めているが、ここでは区別して解説したい。フィッシング型のように偽サイトに誘導するのではなく、フィッシングメールにEXEファイルを添付して配布し、このEXEファイルに直接、アカウント情報と乱数表を入力させ盗み取ろうとするものだ。
編集部は昨年10月、このフィッシングメールを確認している。国内大手銀行をかたり、「暗証カードの再発行手続き」のために必要と称して、メールに添付したEXEファイルを開かせ、必要項目を入力させたうえで、送信させようとする。このとき配布された偽メールは、その後すぐに同様の文面で偽サイトへと誘導するフィッシング型に移行していた。
注1)インターネットバンキングに係る不正アクセス禁止法違反等事件の発生状況等について[PDF](警察庁)
http://www.npa.go.jp/cyber/warning/h23/111215_1.pdf
注2)2011年下半期 東京SOC 情報分析レポート[PDF](日本IBM)
http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2011_h2.pdf
注3)あなたの銀行口座も狙われている!?」SpyEye(スパイアイ)ウイルスに注意
http://www.ipa.go.jp/about/press/pdf/110905press2.pdf
スパイウェア型の予防には、ドライブバイダウンロード攻撃を防ぐための感染対策の徹底が必要だ。フィッシング型、入力フォーム型によるID/パスワードの詐取を防ぐためには、感染対策はもちろんのこと、金融機関ではありえない偽メールや偽サイトを見分ける常識力を身に着け、騙されないようにしたい。また、どちらの場合も、「ワンタイムパスワード」は有効だ。銀行側がワンタイムパスワードを用意している場合、ぜひ利用することをお勧めする。
◎OS、アプリケーション、対策ソフトを常に最新版に
ウイルス感染を防ぐためのもっとも基本的な対策だが、上掲コラム「狙われる脆弱性~JAVA、Adobe Reader/Acrobat」で記したように、これらが最新版になっていないために、多くのパソコンが感染している。とくに、Java の脆弱性については注意が必要だ。攻撃者はJavaの脆弱性が放置されたままのパソコンが多数あることを見越し、ドライブバイダウンロード攻撃の際には、Java の脆弱性を狙うことが非常に多い。Windows だけでなく、Java、Adobe Reader/Acrobat も、できれば自動アップデートに設定したい。使わないアプリケーションは削除しておくこと。また、IDやパスワードを使い回さないよう注意していただきたい。
◎金融機関ではありえない偽メール/偽サイトを見分ける
金融機関をかたる偽メールや偽サイトは、次の常識をふまえ、不審なものはすぐに見分けられるようにしたい。
・金融機関からのメールにEXEファイルが添付されることはありえない
・金融機関からのメールで暗証番号などを求めることはありえない
・金融機関からのメールで乱数表の数字入力を求めることはありえない
・ネットバンキングのログインページは、必ず暗号化通信(SSL)で接続される
・情報等の入力ページは、「https」でしか接続できない
疑わしいメールを受け取った場合は、開かず削除すること。うっかり開いてしまった場合は、入力したり送信元へ返信したりしない。万が一、情報を入力してしまった場合は、銀行窓口に相談しよう。
◎ワンタイムパスワードの利用
ワンタイムパスワードとは一度の利用で無効になる使い捨てパスワードのことで、昨年から今年にかけて、このサービスを導入する金融機関が増えている。ワンタイムパスワードを生成する装置は「トークン」と呼ばれ、小型の専用機器で提供されるもの(ハードウェアトークン)、携帯電話を利用するもの(ソフトウェアトークン)などがある。万一アカウント情報が盗まれても、使用のたびにパスワードが変更されるため、本人になりすましての不正行為はできなくなる。
警察庁は今後の対策として、顧客への注意喚起とワンタイムパスワード等の推奨について、金融庁や全国銀行協会等を通じて金融機関へ要請するとしている。また、都道府県警察においても、不正アクセスの手口や発生状況の広報を通じてネットバンキング利用者等へ注意喚起していく。さらに、フィッシング行為を処罰対象とするため、「不正アクセス禁止法」改正案をまとめて通常国会に提出し、成立を目指している。
2000年に施行された不正アクセス禁止法では、他人のID/パスワードの不正取得に対する罰則がなく、ネットバンキングの不正送金についても、明らかにそれを目的とした偽メールが出回っても、実際に被害が確認されないと本格的な捜査ができなかった。改正案では、不正な手段でのID/パスワード取得、偽サイトの設置や偽メールの送信、入力フォーム型のフィッシング行為も処罰の対象としている。(改正案は、2月21日に閣議決定された。)
(執筆:現代フォーラム/熊谷)