警察庁によると、今年上半期のネットバンキング不正送金の被害件数は857件、実質的な被害額は7億7200万円でした。法人口座の被害額は減少しているものの、個人口座の被害は高止まりが続いています。不正送金被害にあわないためにはどうすればいいか、必須の基本対策をご案内します。
<INDEX>
■毎月1億円以上もの被害が出ている「不正送金」2つの手口
マルウェアの動向/フィッシングの動向
■「感染しない」「騙されない」――口座を守る基本技
感染源を断つ/騙しの手口を見抜く
■不正送金から口座を守る「ワンタイムパスワード」
取引用パスワード/乱数表方式/ワンタイムパスワード
■ワンタイムパスワードを破る「中間者攻撃」
■中間者攻撃に有効な「トランザクション認証」
<以下本文>
警察庁がまとめた今年上半期(2016年1~6月)のネットバンキング不正送金の発生状況によると、被害件数857件、被害額8億9800万円、金融機関が不正送金を阻止した額を差し引いた実質的な被害額7億7200万円だった。被害額は、法人口座の被害増加により過去最悪を記録した昨年から半減したものの、回復をみせたのは法人口座だけで、個人口座の被害は今年に入ってからも高止まりが続いている。5月以降は落ち着きを見せているが、まだまだ予断を許さない状況にある。
図1 月別被害額の推移(警察庁の集計)
ネットバンキングの不正送金には、ユーザーになりすまして送金する手口と、ユーザー自身に送金させる手口とがある。前者は、「何らかの方法」でログイン情報などを盗み取った攻撃者が、それを使ってネットバンキングにアクセスして操作するやり方だ。後者は、「何らかの方法」でユーザーとネットバンキングの間に割り込み、ユーザーの操作に合わせて送金先や金額を変更したり、別の操作に見せかけてこっそり送金してしまったりするやり方だ。
どちらの手口にも共通する「何らかの方法」には、ユーザーのパソコンに入り込んで悪事を働くマルウェア(ウイルス)を使うものと、メールなどを使ってユーザーを偽のネットバンキングに誘導するフィッシングの2種類が主に用いられている。
●マルウェアの動向
国内のネットバンキングを狙うマルウェアは、これまでにもいろいろなものが見つかっている。多くは、ユーザーがネットバンキングにアクセスした際に、入力したログイン情報を盗み取ったり、偽のポップアップ画面を表示して入力させたりするやり方が使われている。今年7月に見つかった新しいマルウェア「KRBANKER」の場合には、GoogleやYahooなどの検索サイトにアクセスした際に、図のような偽のポップアップ画面を表示し、偽サイトへと誘導する手口も使われた。
感染の手口は、通知などを装うメールを送り添付ファイルを開かせようとするケースと、改ざんされた一般のWebサイトや広告を使って攻撃サイトに誘導し、ブラウザやプラグインの脆弱性を悪用して強制的に感染させるケースが多い。
図2 「金融監督庁」をかたるポップアップ表示で誘導する「KRBANKER」
●フィッシングの動向
ネットバンキングのフィッシングでは、金融機関を装うメールで誘導する手口が主流だったが、携帯電話やスマートフォンの電話番号あてに短文を送るSMS(ショートメッセージ、ショートメールとも)を使う手口が昨年5月に登場した。昨年から今年にかけて行われたネットバンキングのフィッシングの約半数を、SMSを使うタイプが占める。誘導先のフィッシングサイト(偽サイト)も、スマートフォン用のページが用意されており、フィッシングもスマートフォン化が進んでいるようだ。
図3 偽サイトに誘導するメール(左)とSMS(右)
図4 偽サイト:パソコン用(左)とスマホ用(右)
不正送金被害を防ぐには、マルウェア感染やフィッシングにあわないように対策することが、最重要課題となる。
●感染源を断つ
マルウェアは、メールの添付ファイルやリンク先、Webサイトや検索サイトのリンク、改ざんサイトからの誘導など、さまざまな経路からパソコン内に侵入する。「不審なファイルを開かない」「不審なサイトへはアクセスしない」などの旧来からの心がけだけでも、ある程度の侵入を食い止めることができる。
改ざんサイトや広告を使った感染は、旧来からの心がけでは回避できないかもしれないが、マルウェアもアプリもプログラムなので、実行しさえしなければ何も起きない。マルウェアは、ユーザー自身が実行するか、脆弱性を悪用して自動実行するかのいずれかの方法で活動を開始するので、両方を断てば感染を食い止めることができる。
標準設定のWindows上で標準的なアプリを使用している場合には、メールやWeb経由で侵入してきたプログラムを実行する際に、図のような警告を表示するようになっている。警告が出たら中止すよう心がければ、ユーザー自身で実行してしまうケースを回避できる。
図5 プログラムの実行を止める警告(Windows 10の場合)
脆弱性を悪用した自動実行は、悪用される脆弱性をなくすことで回避できる。脆弱性攻撃を受けることが多いWindows環境の場合には、Windows Updateでシステムと標準アプリのアップデートを行うとともに、使用しているアプリのアップデートも欠かさず行う。Adobe Flash PlayerとJRE(Java Runtime Environment:Java実行環境)は、特に狙われることが多いので、利用している方は遅延なくアップデートしていただきたい。
●騙されない
偽のメール、偽のSMS、偽の警告、偽のWebサイトなど、ネット上にはユーザーを騙して何かをさせようとする攻撃が渦巻いている。
・不審に気づき、正規窓口に相談する
普段と少しでも違うことが起きたなら、騙そうとしているのかもしれないと疑ってかかろう。添付ファイルを開くよう促したり、パスワードの変更や再認証などと称してリンクをクリックさせようとしたりするのは、尋常なことではない。本物だと確信できない限り、それ以上先に進まず、必ず電話などで相手に真偽を確認することだ。
当たり前だが、真偽のわからないメールなどに記載された問い合わせ先には、絶対に問い合わせてはいけない。問い合わせて来るユーザーを言葉巧みに騙す手口もよく使われるので、問い合わせは公式サイトなどに載っている正規の窓口を利用する。よくわからない場合には、公的な消費生活相談窓口に(局番なしの「188」)相談するのもよいだろう。「不審に気づくこと」と、「相談すること」が大切だ。
・全国の消費生活センター等(国民生活センター)
http://www.kokusen.go.jp/map/
・正規サイトの見分け方
フィッシングやマルウェアでは、不正送金に必要な情報を入力させたりユーザーに操作させたりするために、偽のWebサイトやフォームが使われる。ログイン情報などの重要な情報は、正規のサイトやアプリ以外で入力してはいけない。
正規サイトであることの確認は、①ブラウザのアドレスバーのURLが「https://」で始まり錠前マークが表示された状態で、②運営者名かURLのどちらか一方、または両方が正しい場合に、正規サイトであることが確認できる。マルウェアが証明書を偽造する仕組みをインストールしたり、本物の証明書が流出したりしない限り、この方法で真偽を正しく判別できる。httpsで接続する偽サイトや、正しいURLで接続する偽サイトもあるので注意したい。httpsで接続し、なおかつアドレスバーのURLが正しい、または証明書の運営者名が正しい場合が本物だ(図6参照)。
図6 正規サイトの確認方法
・偽のポップアップに注意
マルウェア感染では、正規サイトに偽のポップアップを表示する手口もあるので注意が必要だ。正規サイトのアクセス中に何らかの入力を求めるポップアップ画面が表示された場合には、操作を中止して銀行に問い合わせていただきたい。
・アプリは公式サイトから
アプリを利用する場合には、必ず公式の案内で紹介されているものを、公式のアプリストアからダウンロードする。iPhoneなどのアップル製品の場合には「App Store」、Android端末の場合は「Google Play」が公式のアプリストアだ。公式以外のアプリがインストールできるAndroid端末の場合には、特に注意が必要だ。標準状態であれば、図のようにブロックされるようになっているが、[設定]→[セキュリティ]→[提供元不明のアプリ]で設定を変更できてしまう。スマートフォンのセキュリティに詳しい方以外は、この設定を変えてはいけない。
図7 アプリのインストールを止めるAndroidの警告(左)とONにしてはいけない[提供元不明のアプリ]設定(右)
国内の主要なネットバンキングでは、振り込みなどの重要な操作を行う際に、毎回異なる可変式のパスワード(数桁の数字で認証コードとも)の入力を求め、安全性を高めている。
最近では、専用のハードウェアなどを使用し、そのつど使い捨てのパスワードを生成する方式を採用するところも多い。不正送金防止に有効な対策のひとつなので、ぜひ利用していただきたい。
マルウェアやフィッシングの対策だけでは防ぎきれなかった場合を想定し、追加の防御策も用意しておきたい。中でも高い効果が期待できるのが、ワンタイムパスワードやトランザクション認証の利用だ。ここからは、ネットバンキングでこれまでに採用されてきた、主な追加の認証方式と、その弱点について解説する。利用できる機能は積極的に利用し、不正送金から口座を守っていただきたい。
図8 盗まれると使われる固定式パスワードと使えない可変式パスワード
●<取引用パスワード>
初期のネットバンキングでとられた対策のひとつが、取引時にログイン用のパスワードとは別のパスワードを使用する方法だ。外鍵が破られても内鍵があれば大丈夫という発想だが、マルウェア感染やフィッシングで両方窃取されると破られてしまい、それほど効果はなかった。他の対策を導入した今もなお、この機能を残しているところもある。
●<乱数表方式>
ほとんどのネットバンキングで採用されたのが、あらかじめ配布した数個から100個の数字が書かれたカードを使用する乱数表方式だ。取引の際には、ネットバンキング側が指定した数か所の数字を指定されたとおりに入力し、パスワードとして使用する。指定場所はそのつど異なり、乱数表に書かれている数字の並びはユーザーごとに異なるので、本人の乱数表を使わないと正しいパスワードを入力できない。
乱数表は物理的なカードに印刷したものを配布するのが基本なので、カードを盗まないと不正送金はできないはずだった。ところが10年近く前に、乱数表の数字を全て入力させるフィッシングが登場し、騙されるユーザーが続出する。一部のネットバンキングでは、今も乱数表だけに頼っているところがあり、ワンタイムパスワードなどがあってもオプションであることが多い。このため、いまもなお乱数表を丸ごと入力させるマルウェアやフィッシングが後を絶たないのが現状だ。一部ではすでにこの方式を廃止し、ワンタイムパスワード等に移行しているところもあり、併用しているところでも乱数表使用時には制限を設けていたりする。
図9 乱数表を1行ずつ全て入力させようとする偽サイト
●<ワンタイムパスワード>
ワンタイムパスワードは、毎回異なる使い捨てのパスワードを使用する認証方式だ。乱数表もその場限りのワンタイムパスワードの一種だが、ここでは、専用のハードウェアなどを使い、一定の時間内に一回だけ有効な認証コードをその都度生成して使う方式に限定する。国内のネットバンキングでは、認証コードを手元のカードやキーホルダー状のハードウェアを使って生成する「ハードウェア方式」、スマートフォンなどのアプリで生成する「ソフトウェア方式」、ネットバンキング側で生成した認証コードをメールやSMSで通知する「メール方式」の3種類が主流だ。
マルウェア感染の影響を全く受けないハードウェア方式は、これらの中で最も安全性が高く、ハードウェアの盗難や覗き見、後述する中間者攻撃を受けない限り、不正送金を阻止できる。
ソフトウェア方式は、ハードウェア方式と同じ条件で運用できれば同等の安全性を持つ。ハードウェア方式と同じ条件とは以下の3つだ。(1)は、ハードウェア方式ならではの特徴なので、同等の安全性を求めるのであれば必須だ。
(1)ネットバンキングを操作する端末とは別の端末にアプリをインストールする
(2)同じコードを生成するアプリのクローンが作れない
(3)他のアプリや外部からアプリの操作や参照ができない
メール方式は、トークンやアプリをインストールした端末という、ユーザーの持ち物を使う方式と異なり、メールアカウントの盗難や着信メッセージの監視という、比較的難易度の低い方法で、送られてくるコードを盗み取られてしまう可能性がある。実際に、感染したマルウェアにネットバンキングとメールの両方のアカウントを盗み取られたとみられる被害が出ているという。
この問題に関しては、先の3条件の(1) にあたる、ネットバンキングを操作する端末とメールを受け取る端末を別にすることで、一定レベルの安全性を確保できる。このためネットバンキングの中には、ワンタイムパスワードの送付先メールアドレスを携帯キャリアのものに限定しているところもある。最近のキャリアメール(特にスマートフォン対応のもの)の中には、インターネット上からアクセスできるようになっているものも多いが、ここでいうキャリアメールは、キャリアの回線経由でしかアクセスできない従来仕様のものを指す。従来仕様のキャリアメールは、その端末(SIM)からでないとアクセスできないので、ワンタイムパスワードを覗き見される心配がない。
一昨年あたりから、ワンタイムパスワードを破るマルウェアやフィッシングが、国内のネットバンキングの攻撃に使われるようになった。メール方式は、先に紹介した手口に破られてしまうが、ハードウェア方式やソフトウェア方式もターゲットだ。
ハードウェアなどが生成する短時間で次々に変わるワンタイムパスワードは、有効な時間内であれば不正送金を行うことができる。そこで、ブラウザを乗っ取ったマルウェアや、ユーザーを騙して誘導した誘導先の偽サイトで偽の画面を表示し、ログイン情報やワンタイムパスワードをユーザー自身に入力させる。その背後で本物のサイトにリアルタイムにアクセスして送金処理を行うと、ワンタイムパスワードが効力を発揮できず、不正送金が成功してしまう。
このような手法を「中間者攻撃」といい、ユーザーの実際の送金処理に合わせて一連の操作が行われると、ほとんど気付かれることなく不正送金されてしまう可能性が高い。ただし現実には、ユーザーが公式サイトにアクセスしたタイミングや、偽サイトに誘導されたタイミングで偽画面を表示し、一連の操作を行うため、見慣れない画面やログイン直後にワンタイムパスワードの入力を求めるという不自然な操作になる。偽の画面や不自然な操作に気付いて操作を止めれば被害を食い止められるはずだが、いかがだろうか。
図10 ワンタイムパスワードを入力させようとする偽サイト
ワンタイムパスワードには、有効期間内であれば用途に関係なく使用できるという欠点がある。そこで、特定の処理にのみ有効な「トランザクション認証」と呼ばれる認証方法が、一部の銀行で採用され始めている。
個人向けのネットバンキングでは、取引内容がスマートフォン用アプリに通知され、画面でそれを確認して承認する方式が、じぶん銀行や住信SBIネット銀行、NTTデータ系のシステムで利用されている。ネットバンキングの操作端末とサイト間、スマートフォンアプリとサイト間の両方に同時に介入しないと、この方式を突破するのは難しい。
図11 スマホアプリに通知される取引内容を承認する方式(住信SBIネット銀行)
トランザクション認証機能を持つ入力キー付きのカード型パスワード生成機を配布しているところもいくつかあり、その中のみずほ銀行が、個人向けのネットバンキングでこの機能を利用している。このカードは、通常は①の赤いボタンを押して普通のワンタイムパスワードを生成するが、登録先以外に振り込む場合には③の青いボタンを押して振込先の口座番号を入力し、その口座番号にのみ有効なワンタイムパスワードを生成する。
ネットバンキングで指定した振込先の口座番号と、カードに入力した口座番号が一致しなければワンタイムパスワードが機能しないので、中間者攻撃への耐性が高い。弱点は、攻撃者がユーザーに指定した口座番号を入力するよう仕向けると、不正送金に有効なワンタイムパスワードが生成される可能性がある点だ。そこだけはユーザーが自覚し、騙されないように注意する必要がある。
図12 みずほ銀行のワンタイムパスワードカード
(執筆:現代フォーラム/鈴木)
<参考URL>
・平成28年上半期におけるインターネットバンキングに係る不正送金事犯の発生状況等について[PDF](警察庁)
http://www.npa.go.jp/cyber/pdf/H280908_banking.pdf
・「金融監督庁」を騙った不審なポップアップを表示させ、インターネット・バンキングのID・パスワードを盗み取る不正な手口にご注意ください!(金融庁)
http://www.fsa.go.jp/news/28/sonota/20160901-1.html