昨年のネットバンキング不正送金の被害額は前年の約30倍という急増ぶりでしたが、今年も被害は収まる気配がなく、半年も経たないうちに昨年1年間を1千万円も上回る被害額に達してしまいました。従来の攻撃に加え、ワンタイムパスワードを無効にする手口も使われています。その対策をご案内します。
<INDEX>
■止まらない! ネットバンキング不正送金の急増
■新たなウイルス攻撃――ワンタイムパスワードが無効に
■ウイルスの基本対策と、正しい「画面遷移」確認を
■対策ソフトを無効化する「VAWTRAK」――カード会社20社が標的に
■犯罪に加担させられる「GOZ」――感染確認と駆除を
<以下本文>
昨年のネットバンキング不正送金被害額は過去最高の14億600万円にのぼり、前年の約30倍という急増ぶりを示した。業界や警察庁は対策に奔走しているが、被害の拡大は収まる気配がなく、今年5月9日までの被害額は昨年を上回る14億1700万円。半年も経たない時点で、昨年1年間の被害総額を1千万円以上も超えてしまった。(注1)
図1 ネットバンキング不正送金の被害額と被害件数の推移
データ出所:警察庁(注1)
地方新聞等に掲載された各県警発表のデータも、この集計結果を裏付けている。3月から7月まで日付は不揃いながら、被害額は軒並み昨年1年間を上回っている。(注2)
・栃木県:2014年3月までの発生件数は7件(昨年は1年間で9件)、被害額は2825万円(昨年は1年間で645万円)。
・兵庫県:2014年4月10日までの発生件数は40件(昨年は1年間で74件)、被害額は8800万円(昨年は1年間で8500万円)。
・山梨県:2014年6月までの発生件数は7件、被害額は約1100万円(昨年は県内初の被害で、計約400万円)。
・愛知県:2014年7月10日までの発生件数は78件(昨年は1年間で81件)、被害額は9150万円(昨年は1年間で9080万円)。
ちなみに、愛知県で発生した78件のうち、フィッシングによる手口は33件、ウイルス感染による手口は12件あったという。フィッシングでは、ユーザーに偽メールを送りつけて偽サイトに誘導し、偽のログイン画面にアカウント情報(パスワード等)を入力させて盗み取る。ウイルス感染による手口は、ユーザーのパソコンを感染させることで、正規のネットバンクにアクセスした時点で偽のログイン画面を表示し、パスワードを盗み取る。
いずれにしても、パスワードを盗み取った後に、そのパスワードを使って預金者本人に成りすましてネットバンクにログインし、不正送金が行われる。このため、1分毎に新しいパスワードを発行し、一度使ったパスワードは無効とする「ワンタイムパスワード」を利用すれば、不正送金を防ぐことができた。しかし、ウイルスによる手口はさらに巧妙化し、ワンタイムパスワードを無効にしてしまう手口も現れた。
この新たなウイルスは、三井住友銀行が今年5月に公表した被害報告により、初めて明らかになった。同行の発表によれば、このウイルス感染による不正送金は次のように行われる。(注3)
<不正送金に至るプロセス>
(1) ユーザーがこのウイルスに感染した端末でネットバンクにログインした直後、「読み込んでいます」「アカウントデータがダウンロードされるまでしばらくおまちください」などと書かれた偽の「読込画面」が表示される。
(2) 偽画面上で、取引を指定していないにもかかわらず、「第二暗証を入力してください」など、暗証番号(パスワード)の入力を求める画面が現れる。
(3) ユーザーが偽画面であることに気づかずに暗証番号を入力してしまうと、直ちに不正送金が実行される。通常は実行前に取引内容の確認画面が表示されるのだが、偽画面では表示されない。入力した暗証番号がそのまま悪用され、攻撃者が指定した口座へ不正送金が行われてしまう。
偽画面の例については三井住友銀行のページ上で確認することができる。
・インターネットバンキング(SMBCダイレクト)の情報を盗み取ろうとするコンピュータウイルスにご注意ください(三井住友銀行)
http://www.smbc.co.jp/security/popup.html
これまで行われていたウイルス感染による不正送金は、上述の通り、(1)偽のログイン画面を表示し、暗証番号を盗む。→ (2)盗んだ暗証番号を使い、不正送金を試みる。という段階を踏んで行われたため、ワンタイムパスワードが有効だった。しかし、新手口では、あらかじめ不正送金先の口座や金額が設定されていて、ユーザーが偽画面に暗証番号を入力した時点で、送金手続が完了してしまう。このため、ワンタイムパスワードを利用していても、不正送金を防ぐことはできない。
同種のウイルスは海外では確認されていたが、国内で見つかったのは初めてという。三井住友銀行は3月以降、数十件の被害を確認したといい、他行でも同種の被害が発生しているとみられる。
セキュリティ会社のセキュアブレイン(本社:東京都千代田区)は、三井住友銀行が新ウイルスの手口を公表した4日後の5月16日、同種のウイルスを捕獲して挙動を解析したとして、その結果を発表した(注4)。それによると、このウイルスに感染したパソコンで対象となる複数のネットバンクにアクセスすると、次のようなコンテンツの書き換えと情報窃盗が行われる。同社は、国内メガバンクを含む5行への攻撃を確認したという。
<新ウイルスの挙動>
(1) 対象となるネットバンクにアクセスした時点で、その正規サイトから受信したHTMLが書き換えられ、その結果、外部サーバーからJavaScriptを別途取得・実行する。このJavaScriptが実際の画面の改ざんや情報送信を行う。(それぞれの金融機関ごとに別のJavaScriptが取得・実行されるが、全て同一のサーバーから取得されている)
(2) 改ざんを行うJavaScriptは、偽の入力画面を表示するだけでなく、正規画面に入力されたログインIDを外部に送信するなど、画面を変更しないで情報を盗むケースも確認された。
(3) 複数の金融機関の改ざんで、「アカウントデータがロードされるまでしばらくお待ち下さい」という同じ文言、デザインの偽画面を表示する機能が存在する。(それぞれの金融機関ごとに改ざんを行うJavaScriptは異なるが、プログラムの部品は共有されている)
先に愛知県の不正送金被害について紹介したが、県内被害を伝える中日新聞(7月12日)は、「ウイルス関係では、普段と同じネットバンキング画面で口座に送金する操作をしていても、知らないうちに別口座に多額の資金が送金された被害」も判明したと報じている。セキュアブレインの解析(上記(2))のように、偽画面を表示して盗み取るだけでなく、正規画面を変更しないで情報を盗むケースもあるとすれば、「普段と同じ操作」をしていて被害にあったということも、ユーザーの勘違いではなく、実際にありえることになる。
このウイルスは不正操作後に自動消滅することがあり、被害断定が難しいこともあるという。厄介なウイルスだが、被害にあわないためには、どのような対策をとればいいのか。IPA(情報処理推進機構)は、感染の基本対策に加え、ネットバンク操作時の「正しい画面」を確認しておくよう推奨している(注5)。
ウイルス対策の基本は、(1)使用パソコンのOSとソフトウェアのアップデートを必ず行い、脆弱性を解消しておく(注6)、(2)ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新の状態にしておく、という2点を守ること。これに加えて、ネットバンク送金の正しい手順を意識し、いつもと違う画面が出てきたら「おかしい」と気づけるようにしておきたい。万全のウイルス対策をしていても、ゼロデイ攻撃などで、まさかの感染をしてしまわないとも限らない。その場合も、ウイルスが表示する「偽の画面」に気付くことができれば、被害にあわずに済む。
IPAは、ネットバンキングの利用者が「正しい画面」と「正しい画面遷移」を把握しておくことは必須として、自分が利用するネットバンクについて、画面のスクリーンショットをとり、パソコンに保存しておくかプリントアウトしておくことを勧めている。実際にネットバンキングを利用する時には、それと照らし合わせ、「正しい画面」「正しい画面遷移」を確かめながら操作を進めることができる。ネットバンキングの体験版を用意している銀行もあるので、調べてみていただきたい。
・インターネットバンキング(SMBCダイレクト)体験版(三井住友銀行)
http://www.smbc.co.jp/kojin/direct/demo.html
・みずほダイレクト体験版(みずほ銀行)
https://www.mizuhobank.co.jp/direct/demo/index.html
ネットバンキングを狙うウイルスは、常にユーザーを騙すための技を進化させたり、標的とする対象を拡大したりしている。その特徴を知り、騙されない対策、感染しない対策をしておきたい。
■対策ソフトを無効化する「VAWTRAK」――カード会社20社が標的に
ネットバンキングの認証情報を詐取するウイルス「VAWTRAK(別名Papras)」が更新され、国内20のカード会社を攻撃対象としていることが判明した(注7)。
<VAWTRAKの特徴>
このウイルスはセキュリティソフトを起動不能にする機能をもち、日本での感染割合が突出して高い。5月以降、検出数が増加していることが複数のセキュリティ会社に指摘されていた。(図2、3)
図2 「VAWTRAK」ファミリーの検出報告数推移
図の出所:トレンドマイクロ(注8)
図3 「VAWTRAK」の感染割合(2014年5月)
図の出所:トレンドマイクロ(注9)
VAWTRAKに感染したパソコンで攻撃対象のサイトにログインすると、IDとパスワードが攻撃者のサーバーに送信され、偽の入力画面が表示される。この画面を本物と思い込んだユーザーがカード番号や有効期限、セキュリティコードなどを入力してしまうと、そのすべてが攻撃者に渡ってしまう。
VAWTRAKの更新を確認したセキュアブレインによると、攻撃対象として確認されたカード会社は以下の通り(五十音順)。イオンカード、出光カード、NTTグループカード、エポスカード、OMCカード、オリコカード、JCBカード、JP BANKカード、セゾンカード、TS CUBICカード、DCMX、日産カード、ポケットカード、Honda Cカード、三井住友VISAカード、三菱UFJニコス、UCSカード、ライフカード、楽天カード、りそなカード。
<騙されない対策、感染を防ぐ予防対策>
カード会社では通常、1つの画面でセキュリティコードの入力まで求められることはない。そのような画面が表示された場合は、入力を停止しよう。また、この入力画面が出る前の、ログイン時に入力したIDとパスワードは攻撃者のサーバーに送信されているので、すぐに変更する必要がある。
このウイルスに感染しないための対策は、前節に述べたウイルス対策と共通する。すなわち、(1)使用パソコンのOSとソフトウェアのアップデートを必ず行い、脆弱性を解消しておく、(2)ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新の状態にしておく。これに加え、(3)使用しているカード会社の正しい画面を把握しておき、いつもと違う画面が出てきたら「おかしい」と気づけるようにしておこう。
GOZ(Game Over Zeus)は、ネットバンクの不正送金に使われるウイルスのひとつで、米国の調査によると、感染端末が世界に50万~100万台あり、最も多いのは米国(25%)、次いで日本(20%)だ。つまり、日本には最大で20万台の感染パソコンがあることになる。
<GOZの特徴>
GOZに感染すると、正規のネットバンクで偽のログイン画面が表示され、アカウント情報の入力を求めてくる。騙されて入力すると盗みとられ、不正に預金が引き出されてしまう。さらに、利用者が気付かない間に、世界規模の犯罪ネットワーク(ボットネット)に組み込まれ、遠隔操作されて、身代金要求型不正プログラム(Cryptolocker)の配布を行うなどサイバー犯罪の一端を担がされることになる。
図4 「ボットネットのテイクダウン作戦」広報に掲載されたGOZの説明図
図の出所:警察庁(注1)
このGOZのボットネットを無効化せるために、米国連邦捜査局(FBI)、欧州刑事警察機構(ユーロポール)はじめ、日本の警察庁や各国の捜査当局や民間企業が連携して「ボットネットのテイクダウン作戦」を展開していた。作戦は6月2日(現地時間)に成功、ボットネットはFBIの制御下に置かれ、首謀者とみられるロシア在住の男が指名手配された。
しかし、脅威が去ったわけではない。GOZボットネットはいったん無効化されたが、サイバー犯罪者たちによって新たに再構築され、復活するおそれがある。その準備期間は約2週間と見積もられ、この間にユーザーは防御策を講じるよう促されていた。
<ISPから感染ユーザーへ通知>
GOZに感染したパソコンはFBI等が構築するシステムで特定されつつあり、警察庁はプロバイダー(ISP)等に協力を呼び掛け、自分の端末がGOZに感染していることを知らないまま利用しているユーザーに対し、GOZの駆除を促すよう依頼している。警察庁は、ISPからGOZに感染している旨の通知があった場合、指示に従って適切に対処してほしいとしている。(注10)
図5 ISPから注意喚起のメールが感染ユーザーに届く
図の出所:ACTIVE(注11)より抜粋
次のチェックサイトで、GOZに感染しているか否かを確認することができる。
○感染状況が確認できるWebサイト(米国国土安全保障省提供)
http://goz.shadowserver.org/gozcheck/gozcheck.html
感染が確認され、使用しているウイルス対策ソフトで駆除できなかった場合、次のような駆除ツールがある(注1)。
○日本語版が提供されている駆除ツール
・シマンテック
http://www.symantec.com/connect/blogs/gameover-zeus
・トレンドマイクロ
http://esupport.trendmicro.com/solution/ja-JP/1103963.aspx
・カスペルスキー
http://www.active.go.jp/flow/flow02_01.html
・F-Secureオンラインスキャナ
http://www.f-secure.com/ja/web/home_jp/online-scanner
・Microsoft Safety Scanner
http://www.microsoft.com/security/scanner/ja-jp/
(執筆:現代フォーラム/熊谷)
(注1) インターネットバンキングに係る不正送金事犯に関連する不正プログラム等の感染端末の特定及びその駆除について(警察庁)
http://www.npa.go.jp/cyber/goz/index.html
(注2) 栃木県(下野新聞4月24日)、兵庫県(産経新聞4月19日)、山梨県(山梨日日新聞6月5日)、愛知県(中日新聞7月12日)
(注3) インターネットバンキングの情報を盗み取ろうとするコンピューターウィルスを使った新たな手口について(三井住友銀行)
http://www.smbc.co.jp/news/j600880_01.html
(注4) セキュアブレイン、ワンタイムパスワードを盗むタイプのウイルスの挙動を解析(セキュアブレイン)
http://www.securebrain.co.jp/about/news/2014/05/netbank-otp.html
(注5) オンラインバンキングの正しい画面を知って、金銭被害から身を守りましょう!(IPA)
http://www.ipa.go.jp/security/txt/2014/07outline.html
(注6) ウイルス対策の基本(1):OSとソフトウェアをアップデートし脆弱性を解消しておく
・インターネットの安全利用に欠かせないアップデート【Windows OS編】
http://www.so-net.ne.jp/security/news/newstopics_201405.html
・インターネットの安全利用に欠かせないアップデート【プラグイン編】
http://www.so-net.ne.jp/security/news/newstopics_201406.html
(注7)・セキュアブレインが国内20のカード会社を狙うウイルスに対して注意
http://www.securebrain.co.jp/about/news/2014/07/card-mitb.html
(注8)・クレジットカード情報も狙うオンライン銀行詐欺ツール「VAWTRAK」、国内で検出報告増加を確認
http://blog.trendmicro.co.jp/archives/9192
(注9)・日本で猛威を振るう「VAWTRAK」とは(トレンドマクロ)
http://about-threats.trendmicro.com/relatedthreats.aspx?language=jp&name=VAWTRAK%20Plagues%20Users%20in%20Japan
(注10)・インターネットバンキングに係るマルウェアへの感染者に対する注意喚起の実施(総務省)
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000080.html
・インターネットバンキングに係るマルウェア感染者に対する注意喚起について(Telecom-ISAC Japan)
https://www.telecom-isac.jp/news/news20140718.html
・ネットバンクのログイン情報盗む「GOZ」に数十万台感染~駆除と予防対策を(セキュリティ通信、2014/06/09)
http://security-t.blog.so-net.ne.jp/2014-06-09
(注11)・ISP事業者と連携した注意喚起(ACTIVE)
http://www.active.go.jp/active/active01.html