ネット銀行の口座から不正に送金され預金を奪われる被害が激増しています。今年1月から8月8日までの被害総額は約4億1600万円にのぼります。日本の銀行と預金者を標的とするウイルスが原因とみられ、感染するとパソコンが遠隔操作され、アカウント情報を奪われる恐れがあります。
<INDEX>
■12銀行で445件、総額4億1600万円の被害
■騙しの手口--正規の銀行サイトに偽のポップアップ
■日本の銀行と預金者を標的とするウイルス
■ウイルスの攻撃拡大--Gmail 等も情報詐取の標的に
■国内の感染パソコンは約1万5000台と推定
■被害にあわないための「ウイルス対策」「入力時の注意」
<以下本文>
警察庁は今年に入り、ネットバンキングで不正送金が多発しているとして、繰り返し注意を呼びかけている。5月には、4月26日までに8金融機関で74件の被害が発生し、被害金額は約9600万円と発表。この金額は、すでに2012年1年間の被害総額を大幅に上回るものだった。7月には、6月までに11金融機関で210件の被害が発生し、被害額は2億200万円にのぼると発表。8月は上旬に2度、矢継ぎ早に速報が出ている。NHKニュースは8月4日に「7月末までの被害は12の銀行で合わせて398件、被害総額はおよそ3億6000万円」と伝え、5日後の9日には「8月8日までの被害は12の銀行で合わせて445件、被害総額はおよそ4億1600万円」と、その急増ぶりを伝えている。
図1:不正送金被害の急増(2013年)
これまで年間被害額が最も多かったのは2011年の約3億800万円だが、2013年は年末まで5か月も残す7月末時点で、それより5000万円以上も上回ってしまった。繰り返し注意を呼びかけても拡大するばかりの被害に危機感を募らせた警察庁は8月9日、全国からサイバー犯罪捜査を担当している警察幹部を集め、緊急対策会議を開いた。
警察庁はこの会議で、犯行組織の実態解明、不正な口座開設の抑止、金融機関との情報共有などを全国の警察幹部に指示し、ネットバンキング利用者には「ウイルス対策の徹底」等を呼びかけた。ネット銀行の口座から不正に送金させて現金を詐取する手口は、利用者のパソコンをウイルスに感染させることから始まる。その手口をみてみよう。
2012年10月30日の『セキュリティ通信』は、同月23日頃から新たに見られるようになった「ネットバンキング不正送金の新手口」を紹介している。新手口の特徴は、「正規のネット銀行のページにログインすると、直後に不正なポップアップ画面が表示され、アカウント情報を入力させようとする」ところにある。これまでのネット銀行を狙う詐欺は、見た目がそっくりな偽サイトへ利用者を誘導するフィッシング詐欺が主流だった。フィッシング詐欺では、ブラウザに表示されるURLが正規サイトとは異なるなど、利用者が偽サイトと気づく手がかりがある。しかし、新手口ではアクセスしているネット銀行のサイトは本物であるため、利用者はポップアップが偽物であることに気づきにくい。
本物の銀行サイトに偽のポップアップが表示されるのは、銀行サイトに改ざん等の問題が発生しているからではなく、利用者のパソコンがウイルスに感染し、ブラウザが遠隔操作されているために起きる。図2を見ていただきたい。
図2:正規の銀行サイトに不正なポップアップ画面が現れる(出所:IPA、注1)
まず、(1)利用者のパソコンがなんらかの形でウイルスに感染し、そのパソコンでネット銀行にアクセスすると、「ログイン」クリック直後に、(2)不正なポップアップが現れ、偽の入力画面を示し、入力を促してくる。銀行サイトは本物なので、利用者はポップアップが偽物であることに気づかないまま、暗証番号などを入力してしまう恐れが大きい。
入力情報は外部に送信されて攻撃者の手に渡り、彼らはそれを使って利用者の口座から自分たちが管理する口座へ送金し、現金を手にする。12銀行で445件、総額4億1600万円という被害の大きさは、仕掛けの巧妙さを物語る。警察庁によれば、不正送金に利用された口座の7割以上は中国人名義で、中国人留学生や技能実習生の口座転売防止は重要対策の1つに位置付けられている。
上記の図2に示す一連の動きは、日本の銀行とその預金者を標的とするウイルスのしわざであることが判明している。セキュリティ企業のシマンテックは今年2月、ネット銀行を狙うトロイの木馬「Zeus」の亜種が、日本のユーザーだけを標的にしていることを報告した。このウイルスは日本の大手銀行5行をターゲットにしており、日本でしか感染が確認されていない(図3)。セキュリティ企業のトレンドマイクロも同じく2月、日本国内の5つの銀行の情報詐取のみにカスタマイズされたウイルスを確認したと報告している。
図3:Zeus 亜種が日本だけを標的にしていることを示す分布図(出所:シマンテック、注2)
このウイルスに感染すると、ターゲットとする銀行のサイトにアクセスする 利用者のWeb ブラウザを監視し、特定ページ(ログイン画面)にアクセスしたところで、アカウント情報の入力を日本語で促す偽のポップアップをブラウザ上に表示する。入力情報はキーロガー機能で記録され、指定されたC&Cサーバー(command and control server、感染パソコンに指令を送り遠隔操作を行うサーバー)に送信され、攻撃者の手に渡る。
トレンドマイクロは7月23日付の公式ブログで、ネット銀行の預金者を狙うウイルスが日本に特化した攻撃を継続し、拡大していることを報告している。同社は、このウイルスに感染したパソコンが詐取情報をやりとりするC&CサーバーのIPアドレスを9か所特定し、7月16~21日の6日間、24時間体制でアクセス状況を監視した。その結果、アクセス元の96%以上が日本からのもので、そのユニークIPアドレスは2万件を越えることがわかった。日本の多くのパソコンがこのウイルスに感染していることが推測できる。(図4)
図4: 9か所の C&Cサーバーに対する日本からのアクセス数推移(出所:トレンドマイクロ、注3)
また、標的となっている6つの金融機関はすべて日本国内のものであることや、金融機関のほかに、Gmail、Yahooメール、Windows live(Hotmail)などが情報詐取の対象となっていることも判明した。
感染パソコンと詐取情報をやりとりするC&Cサーバーに、日本のユニークIPアドレス2万件以上からアクセスがあったことは、7月下旬に複数の大手セキュリティ会社から警視庁に伝えられた。警視庁はこのサーバーの接続記録を調査分析し、国内からC&Cサーバーに接続したパソコン(=感染パソコン)は約1万5000台と推定している。
国内のユーザー回線は大半が動的にIPを割り当てるので、接続するたびにIPアドレスは変わる。このため、C&CサーバーにアクセスしたユニークIPアドレスが2万件以上あったとしても、それがそのまま感染パソコンの台数になるわけではなく、それより低い数になる。実際の感染パソコンはもっと少ないのではという見方もあるが、警視庁の分析資料が一般公開されていないこともあり、詳細は不明だ。
図1に見る通り、不正送金被害は6月以降に急増している。5~7月に感染したパソコン経由で預金者のアカウント情報が抜き取られ、不正送金に使われたとみて、警視庁は「不正アクセス禁止法」違反容疑で、ウイルスの発信元の特定を進めている。
感染パソコンが国内に1万5000台もあるとすると、不正送金がこの後も引き続き発生する可能性は高い。憂慮した総務省は8月8日、プロバイダーからユーザーに注意喚起を行うよう協力を要請した。基本的ウイルス対策についてはもちろん、C&Cサーバーの接続記録から判明した「感染している可能性が高い端末」について、可能な範囲で注意するよう協力を要請したという。
ネットバンキング利用者が不正送金被害にあわないためには、「ウイルスに感染しない対策」と「アカウント入力時の注意」の2点に留意すればよい。
(1) ウイルスに感染しない対策
ウイルス対策ソフトを導入し、最新状態で使用すること。パソコンのOS(Windowsなど基本ソフト)やアプリケーションには最新の更新プログラムを適用し、脆弱性を解消しておくこと。脆弱性の解消については、以下を参照していただきたい。
・セキュリティの第一歩「Windows Update」を実行しよう(2013年2月)
http://gendaiforum.typepad.jp/column/2013/02/セキュリティの第一歩windows-updateを実行しよう20130228.html.html
・セキュリティの第一歩「プラグインのアップデート」を実行しよう(2013年4月)
http://gendaiforum.typepad.jp/column/2013/04/セキュリティの第一歩プラグインのアップデートを実行しよう20130428.html.html
(2) アカウント入力時の注意
「乱数表や合言葉などを一度にすべて入力」することを求められたら、「おかしい」と気づこう。ネット銀行が第二認証情報(乱数表や合言葉など)すべての入力を求めることは、ありえない。第二認証情報「すべて」の入力を促す画面が表示された場合は、絶対に情報を入力せず、銀行に通報しよう。
また、ウイルスによる不正送金被害が発生したとみられる金融機関が出す注意喚起に、目を通しておきたい。下欄の【各行の注意喚起】に、銀行各社が出している最新の注意喚起ページをまとめたので、参照いただきたい。
図5は、ネットバンキングのウイルスに感染する前と、感染した後のログイン画面のイメージ図だ(警視庁作成)。感染前は、画面上部に「注意喚起」が表示され、入力フォームは「お客様番号」と「パスワード」だけ表示されている。 感染後は注意喚起が削除され、入力画面に前記2項目の他、「第2暗証」「質問/合言葉」等の入力フォームが表示される。絶対に入力しないように気を付けたい。
図5:ネットバンキングのウイルス感染前と感染後のイメージ図(出所:警視庁、注4)
(執筆:現代フォーラム:熊谷)
(注1)ネット銀行を狙った不正なポップアップに注意!(IPA、2012年12月)
http://www.ipa.go.jp/security/txt/2012/12outline.html
(注2)日本のオンラインバンキング利用者のみを標的にするZeus(シマンテック、2013/02/13)
http://www.symantec.com/connect/ja/blogs/zeus
(注3)オンライン銀行詐欺ツール「Citadel」:日本での被害増加を確認、国内で2万台以上の感染(トレンドマイクロ、2013/07/23)
http://blog.trendmicro.co.jp/archives/7547
(注4)ネットバンキングに係る不正アクセス被害の防止対策について(警視庁)
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku428.htm
【関連URL】
・ネットバンキングに係る不正アクセス事案への対応に関する利用者への注意喚起等について(要請)(総務省、2013/08/08)
http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000076.html
・ネットバンキング不正利用防止について(So-net、2013/08/09)
http://www.so-net.ne.jp/access/osirase/20130809.html
・インターネットバンキングに係る不正送金事案への対策について[PDF](警察庁、2013/05/01)
http://www.npa.go.jp/cyber/warning/h25/130501.pdf
・国内オンラインバンキング利用者を狙った攻撃を再度確認-利用者は継続して警戒を(トレンドマイクロ、2013/02/14)
http://blog.trendmicro.co.jp/archives/6702
・ネット銀行を狙った不正なポップアップに注意
http://www.ipa.go.jp/files/000016700.pdf
・インターネットバンキングに係る不正アクセス禁止法違反等事件の発生状況等について[PDF](警察庁、2011/12)
http://www.npa.go.jp/cyber/warning/h23/111215_1.pdf
【各行の注意喚起】
○三井住友銀行
・【重要】インターネットバンキング(SMBCダイレクト)の情報を盗み取ろうとするコンピュータウィルスにご注意ください(2013年8月16日更新)
http://www.smbc.co.jp/security/popup.html
○楽天銀行
・不正送金の被害に関するご注意と推奨する対策について(2013年7月11日)
http://www.rakuten-bank.co.jp/info/2013/130711.html
・不正な画面を表示させてお客さまの情報を盗み取ろうとする犯罪にご注意ください(2013年6月11日)
http://www.rakuten-bank.co.jp/info/2013/130611.html
・不正送金の被害に関するご注意と対策について(2013年5月2日)
http://www.rakuten-bank.co.jp/info/2013/130502.html
○ゆうちょ銀行
・【重要】ゆうちょダイレクトの暗証番号を入力させて、不正に情報を盗み取ろうとする犯罪にご注意ください(2013年6月26日)
http://www.jp-bank.japanpost.jp/direct/pc/drnews/2013/drnews_id000045.html
○セブン銀行
・不正にポップアップ画面を表示させてインターネットバンキング取引きに必要な暗証番号等を盗み取ろうとする犯罪にご注意ください(2013年8月1日更新)
http://www.sevenbank.co.jp/support/info_popup.html
○三菱東京UFJ銀行 ・お客さまの情報を不正に入手するコンピューターウィルスにご注意ください(2013年8月2日更新)
http://www.bk.mufg.jp/info/phishing/20130802_ib_ransuu.html
○みずほ銀行 ・【重要】みずほダイレクトにおいて 第2暗証番号6桁を盗み取ろうとするウィルスにご注意ください(2013年8月22日更新)
http://www.mizuhobank.co.jp/crime/info130625.html
○新生銀行
・【必ずご確認ください】新生パワーダイレクトご利用時の不正な画面について(2013年8月19日)
http://www.shinseibank.com/info/news130819_secure.html