金融庁は1日、偽造キャッシュカードよる預金の不正払い戻しなどの被害状況について、各金融機関からの報告を取りまとめて発表した。
報告によると、2006年4月から12月まで9か月間のインターネット・バンキングによる預金などの不正払い戻し被害は55件発生しており、平均被害額は125万円だった。被害額は2005年度(2005年4月~2006年3月)1年間の平均被害額214万円を下回っているが、件数は2005年度の49件をすでに越えている。
不正な払い戻しに使用するためにIDやパスワードを盗む手口の中でも、フィッシングやファーミングなどの増加が指摘されている。フィッシングは詐欺メールなどを使用して偽サイトに誘導するが、米セキュリティベンダーのMessageLabsは今年1月、フィッシングメールの数がウイルスメールの数を超えたと警告している。ユーザーを強制的に偽サイトに誘導するファーミングでも大規模な偽サイトの実態が報告されている。
【解説:ファーミング】
米ウェブセンスは2月22日、大規模なファーミングについて報告した。攻撃者は米国や欧州など約50の金融機関をターゲットとして本物そっくりの偽サイトを用意し、Windowsの「MS06-14」の脆弱性を利用した攻撃コードを仕込む。この脆弱性を修正していないユーザーが同サイトを訪れると、トロイの木馬を含む「iexplorer.exe」という悪意あるプログラムをダウンロードさせる。感染したユーザーが金融機関のサイトにアクセスしようとすると偽サイトにリダイレクトされ、IDやパスワードを盗まれてしまう。ウェブセンスの確認によると、報告した時点で1日に1000台以上のパソコンが感染していた。
ネットバンキングのセキュリティ強化が依然として大きな課題であることは間違いない。国内ではみずほ銀行が2008年春から新認証方式を導入する。利用者が日常的に使用しているパソコン環境を追跡するもので、ユーザーが普段使用している環境と異なる環境からログインする場合、事前に登録した合言葉による追加認証を求める。また希望者には、パスワード表示専用端末を配布し、使い捨てパスワードを利用できるようにする。
(2007/03/05 ネットセキュリティニュース)
■偽造キャッシュカード等による被害発生等の状況について(金融庁)
http://www.fsa.go.jp/news/18/ginkou/20070301-1.html
【関連記事:セキュリティ関連ニュース】
・簡単設定で本物そっくり、危険なフィッシングサイト構築ツール登場(2007/01/15)
・相次ぐオークション詐欺~ ヤフー、対策として「ログイン履歴表示」開始(2007/02/08)