2013年にネットバンキングで不正送金された額は14億600万円にのぼり、2012年の約30倍もの被害が発生しました。ウイルス感染により認証情報を奪い取る手口が主流で、フィッシングで偽サイトに誘導する手口も使われています。この2つの手口について知り、まさかの被害にあわない対策をとりましょう。
<INDEX>
■前年の約30倍「14億600万円の被害」発生
■違法口座へ不正送金し、「出し子」が出金
■認証情報を騙し取る手口その1「ウイルス感染」
■認証情報を騙し取る手口その2「フィッシング」
■ウイルス対策、フィッシング対策を確実に
<以下本文>
2013年のネットバンキングの不正送金の被害額は14億600万円だった。この金額は、2012年の被害額4800万円の約30倍、過去最悪だった2011年の被害額3億800万円の4.5倍強にあたる。被害件数も、前年とは二桁、2011年とは一桁違っている(図1)。
図1 被害件数と被害額の推移(2011~2013年)
データ出所:警察庁(注1)、2014年1月
まさに急増という言葉が当てはまるが、この異常な増加は昨年6月頃から始まった。警察庁は被害の拡大を食い止めようと、犯行組織の実態解明、不正な口座開設の抑止、金融機関との情報共有、一般利用者への注意喚起などに努めてきたが、残念ながら拡大を阻止するには至らなかった(図2)。
図2 月別の発生件数(2013年)
データ出所:警察庁(注1)、2014年1月
被害にあった金融機関は、昨年5月頃までは10社ほどだったが、その後毎月増え続け、12月までの累積被害金融機関は、大手都市銀行から地方銀行まで32社に及んだ(図3)(注2)。
図3 被害金融機関数の推移(2013年)
データ出所:警察庁(注1)、2014年1月
被害は大手銀行に集中しており、ゆうちょ銀行、みずほ銀行、三菱東京UFJ銀行、楽天銀行、三井住友銀行の5社で被害総額の86%を占めるという。
不正送金の被害は、ほとんどが個人名義の口座で発生している。攻撃者はネットバンキングの取引に使うIDやパスワードを盗み、口座の名義人になりすましてログインし、送金手続きを行う。送金先には違法に売買された口座が使われ、「出し子」と呼ばれる出金役がATMから現金を引き出すケースが約5割を占める。そのほか、送金先の口座名義人が不法に国外送金するものが約2割、電子マネーに換金するもの(7%)、正規取引などへ充当するもの(4%)などがある。
図4 攻撃者はID/PWを盗んで別口座へ不正送金し、現金を手にする
図の出所:IPA(注3)、2013年3月
2013年中に、警察庁は34事件で68人を検挙し、うち中国人が59人(86.8%)だった。しかし、彼らは口座の違法売買や出し子役で逮捕・書類送検されたもので、実際にIDやパスワードを盗んで不正送金した首謀者は逮捕されていない。
不正送金という犯罪の核心部分は、オンライン取引に使うIDやパスワードなどの認証情報(合言葉や第2暗証番号、乱数表番号など含む)を、ユーザーを騙して入力させ、盗むところにある。警察庁によると、2013年に頻発した不正送金では、①ウイルスにポップアップ画面を表示させ入力させる手口、②偽メールでフィッシングサイトに誘導し入力させる手口、の2つが使われた。主流は①だが、2013年11月以降は②が多発したという。それぞれの例をみてみよう。
ネット銀行を狙うウイルスとしては、「Zeus(ゼウス)」、「SPYEYE(スパイアイ)」、「CITADEL(シタデル)」などが世界的に知られている。これらは英語の壁もあり、主に海外で流行していたが、2013年は日本の銀行とその利用者をターゲットにカスタマイズされた亜種が出回り、多くのパソコンが感染した。
このウイルスに感染すると、ユーザーのWebブラウザの動きを監視し、標的とする銀行のサイトにアクセスしたところで、偽のポップアップ画面を表示し、「第2暗証番号」「合言葉」などの入力を求めてくる。ユーザーが入力した情報は、不正サーバーに送信されて攻撃者の手に渡る。
三井住友銀行は昨年12月13日、同行のネットバンキングサービス「SMBCダイレクト」の情報を盗み取ろうとするウイルスが確認されたとして注意を呼びかけた。この注意喚起ページには、実際に悪用されたポップアップ画面が掲載されているので、参照していただきたい。説明に使われている「画面例2」は2012年秋に、「画面例1」は2013年に悪用されたポップアップ画面だ。乱数表を一度に全て入力させるのではなく、数回に分けて入力させるように進化していることが見て取れる。
・インターネットバンキング(SMBCダイレクト)の情報を盗み取ろうとするコンピュータウィルスにご注意ください(平成25年12月13日更新)(三井住友銀行)
http://www.smbc.co.jp/security/popup.html
銀行からのお知らせなどを装った偽メール(フィッシングメール)を送りつけ、銀行のホームページに似せた偽サイト(フィッシングサイト)に誘導し、認証情報を入力させる手口が、昨年11月頃から活発化した。三菱東京UFJ銀行は昨年11月18日、Webサイトに「インターネットバンキングのパスワード等を騙し取る不審な電子メールにご注意ください」という注意喚起を出した。その後も偽メールの文面が新しくなるのに合わせて注意喚起を更新し、現時点での最新更新は今年1月14日付となっている。実際に配布された偽メールの画像が掲載されているので、参照していただきたい。
・インターネットバンキングのパスワード等を騙し取る不審な電子メールにご注意ください(平成26年1月14日更新)(三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/phishing/20131118.html
警察庁やIPA(情報処理推進機構)、フィッシング対策協議会は、ネットバンキングの不正送金被害を防ぐため、利用者に対し、繰り返し対策を呼びかけている。ポイントは次の6項目で、①と②はウイルス感染予防、③④はネット銀行のパスワード漏えい対策、⑤⑥はフィッシング対策だ。まさかの被害にあわないために、これらの対策を確実に実施しておこう。(注4-8参照)
①ウイルス対策ソフトを導入し、最新状態で使う
インターネットにアクセスするパソコンには必ずウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新して使用する。
②パソコンのOSや各ソフトウェアを最新状態にする
ウイルスはパソコンのOS(Windows、Macなど基本ソフト)、インストールされている各ソフトウェアの脆弱性を狙って侵入する。ソフトウェアに脆弱性が残ったままだと、Webサイトや文書ファイルを閲覧しただけで、あるいはメールの添付ファイルを開いただけで、ウイルスに感染するおそれがある。とくに、「Adobe Reader」「Flash Player」「JRE(Java Runtime Environment:Java実行環境)」の3つのソフトウェアは脆弱性を狙われることが多いので、確実にアップデートする必要がある。自分のパソコンにインストールされているソフトウェアが最新状態かどうかは、次の方法で確認していただきたい。
<Adobe Reader>
起動し、[ヘルプ]→[アップデートの有無をチェック]
<Flash Player>
・Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
<JRE>
・Java のバージョンの確認
http://www.java.com/ja/download/installed.jsp
アップデート方法については、当トピックスの下記記事が参考になる。
・セキュリティの第一歩「Windows Update」を実行しよう. (2013年2月)
http://www.so-net.ne.jp/security/news/newstopics_201302.html
・セキュリティの第一歩「プラグインのアップデート」を実行しよう(2013年4月)
http://www.so-net.ne.jp/security/news/newstopics_201304.html
③ワンタイムパスワードを利用する
多くの銀行がセキュリティサービスとして提供しているワンタイムパスワード(可変式パスワード)を利用する。2013年3月末時点で94.7%のネット銀行が導入しており、提供方法は「乱数表」22.0%、「トークン(ワンタイムパスワード生成器)」12.3%、「メール」67.7%(複数回答)で、メールが最も多い(注6)。メールでワンタイムパスワードを受け取る場合には、フリーメール等ではなく、携帯電話やスマートフォンのキャリアメール(電話会社が提供するメール)で受信するように設定しよう。
④不審な入力画面等発見した場合は金融機関等に通報する
ネットバンキングのログイン時、不審な入力画面などが表示された場合は、パスワード等の入力はせず、当該の金融機関や、居住地の警察本部のサイバー犯罪相談窓口(注7)などに通報しよう。この窓口では、サイバー犯罪の被害にあったとき、あいそうになったときの相談を受け付けている。
⑤金融機関を装う偽メールを見抜く
金融機関は、メールで口座番号や暗証番号、本人の個人情報を問い合わせることは、セキュリティ上絶対にしない。これらを尋ねてくるメールはフィッシング詐欺と断定してよい。そうした不審なメールが届いたら、メール内のURLをクリックしたり添付ファイルを開いたりせず削除しよう。ネットバンキングのサイトはあらかじめブックマークに登録しておき、そこからアクセスすると安全だ。メールのリンクや検索結果からアクセスしてはいけない。
⑥金融機関を装う偽サイトを見抜く
ネットバンキングの画面を表示すると、「錠前」のアイコンがブラウザの下のバーに表示される。これが確認されれば偽サイトではない。また、画面の何もない部分へマウスポインタ(画面の矢印)を乗せ、Windowsパソコンの場合は右クリックで「プロパティ」を選択し、さらに「証明書」をクリックすると、電子証明書の内容が確認できる。証明書中に銀行の名称が書かれていれば、本物のネットバンキング画面だ。
(執筆:現代フォーラム/熊谷)
(注1)平成25年中のインターネットバンキングに係る不正送金事犯の発生状況等について[PDF]
(警察庁、2014年1月)
http://www.npa.go.jp/cyber/pdf/H260131_banking.pdf
(注2)被害金融機関(32社):ゆうちょ銀行、みずほ銀行、三菱東京UFJ銀行、楽天銀行、三井住友銀行、りそな銀行、シティバンク銀行、住信SBIネット銀行、セブン銀行、新生銀行、ジャパンネット銀行、イオン銀行、八十二銀行、北洋銀行、十六銀行、南都銀行、埼玉りそな銀行、スルガ銀行、大垣共立銀行、千葉銀行、第三銀行、西日本シティ銀行、もみじ銀行、常陽銀行、肥後銀行、横浜銀行、福岡銀行、中国銀行、武蔵野銀行、山形銀行、筑波銀行、他地銀1行。
(注3)2013年版 10大脅威[PDF](IPA、2013年3月)
http://www.ipa.go.jp/security/event/2013/isec-semi/documents/2013ten_threats_v1.pdf
(注4)インターネットバンキングに係る不正送金事案への対策について[PDF](警察庁、2013年5月)
http://www.npa.go.jp/cyber/warning/h25/130501.pdf
(注5)インターネットバンキング利用時の勘所を理解しましょう!(IPA、2013年9月)
https://www.ipa.go.jp/security/txt/2013/09outline.html
(注6)偽造キャッシュカード問題等に対する対応状況(平成25年3月末)について(金融庁)
http://www.fsa.go.jp/news/25/ginkou/20130709-1.html
(注7)都道府県警察本部のサイバー犯罪相談窓口等一覧
http://www.npa.go.jp/cyber/soudan.htm
(注8)フィッシング対策の心得(フィッシング対策協議会)
https://www.antiphishing.jp/consumer/attention.html