最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆脆弱性が修正されないWindows版「Safari」の使用停止を勧告(JVN)(2012/10/25) | メイン | ◆モジラ、深刻な脆弱性1件を修正した「Firefox 16.0.2」公開(2012/10/29) »

2012/10/26

◆9月の国内フィッシング事情:ネットバンキングのフィッシング続く(2012/10/26)

 9月の観測結果では、国内関連のフィッシングサイトは減少から増加に転じている。9月初旬から10月にかけては銀行を装ったフィッシングがほぼ毎週末観測され、実際に被害も発生した。不正アクセスを防ぐネットバンキングの認証方式をまとめたので、利用可能なものを確認し、被害予防に役立てていただきたい。

■9月の観測結果:サイト数は増加に転じ43件

 編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト(国内IP、JPドメイン、国内ブランド、日本語サイト)について観測を行っている。9月に観測した国内関連のフィッシングサイトは、6月から続いていた減少から増加に転じ、前月から12件増の43件だった。国内のサイトに設置された、海外のフィッシングサイトの増加が目立つ。
 国内関連のフィッシングサイト43件のうち、偽サイト本体が設置されていたものは41件、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは2件だった。悪用されたサーバーは、不正アクセスを受けた一般のWebサイトと見られるものが33件(国内サーバー30件)、ホスティングサービスの悪用が8件(国内サーバー5件)、ウイルスに感染したユーザーのパソコンや自宅サーバーと見られるものが2件(全て国内)だった。
 悪用されたブランドは、PayPal(14件)、RE/MAX(3件)、みずほ銀行(3件)ほか、計14件。国内ブランドはみずほ銀行のみだったが、9月には各所からフィッシングに関する以下のような注意喚起が出されている。
・マスターカードをかたるフィッシングの報告について(フィッシング協議会:twitter)
https://twitter.com/antiphishing_jp/status/243630465582497792
・@niftyからのメールをかたる不審なメールとフィッシングサイトについて(ニフティ)
http://support.nifty.com/cs/suptopics/detail/120912299186/1.htm
・詐欺メール(フィッシング詐欺)にご注意ください(みずほ銀行)
http://www.mizuhobank.co.jp/crime/email.html

■みずほ銀行のフィッシングで被害発生

 9月初旬から10月にかけては、みずほ銀行を装ったフィッシングが、ほぼ毎週末観測された。昨夏から続いている、中国のグループが仕掛けていると見られるフィッシングだ。
 不特定多数に送られた日本語のフィッシングメールには、文面の異なるものが数種類使われており、情報確認などと称して偽サイトへと誘導。ログインパスワードや合言葉、取引の際に使用する第二暗証番号(乱数表)などを全て入力させようとする。
 同行は、9月25日に不正な取引による被害が確認されたとして、あらためて注意を呼び掛けた。9日から26日までの間に、不審なメールに関する問い合わせが60件ほど寄せられたという。
 犯人グループの手口は、騙し取ったアカウント情報を使って利用者の口座に不正アクセスし、日本国内に用意した別の口座に不正送金する。それを国内の出し子が引き出し、中国に送金していると見られている。これまでに、国内の出し子を何人も逮捕しているが、黒幕の摘発には至っていない。
・みずほ銀行を騙った不審な電子メールによる不正取引について[PDF](みずほ銀行)
http://www.mizuhobank.co.jp/company/release/2012/pdf/news120927.pdf

■不正アクセスを防ぐネットバンキングの認証方式

 パスワードなどを盗み取るウイルスを使った不正アクセスが相次いだ2005年以降、国内のネットバンキングは、さまざまなセキュリティ対策を打ち出してきた。その要となる本人認証については、取引時にログイン時とは別の第二認証を行うことが一般化し、個人向けのサービスでは、この第二認証に毎回異なるパスワードを用いる「可変パスワード方式(ワンタイムパスワードとも)」が主流となっている。固定パスワードと違い、ウイルスにパスワードを盗み取られても取引の度に変わるので、第三者によるパスワードの悪用のリスクは小さくなる。

<乱数表方式>
 事前に数種類から数十種類の数字の組み合わせをユーザーに知らせておき、取引時に何組かの指定された数字を指定された順に入力する。数字の組み合わせはユーザーごとに異なり、指定される場所や順番もその都度変わるので、毎回異なるパスワードを用いる効果がある。ネットバンキングを狙った一連のフィッシングでは、この乱数表を丸ごと入力させようとする。乱数表が相手に渡ってしまえば、可変パスワードとしての効果がなくなってしまう。ネットバンキングでは、いかなる場合でも、このように全ての数字を入力させるようなことはない。

<パスワード生成機方式>
 数桁の数字をランダムに発生する小さな装置(トークンとかドングルなどと呼ばれる)をユーザーに渡し、取引時には、この装置に表示されている数字を入力させる。装置に表示される数字は装置ごとに異なり、30秒から1分程度の間隔でランダムに変わっていくので、この装置を持っていないと取引などの操作はできなくなる。
 国内ではこのパスワード生成機を使用するユーザーの被害はこれまでのところ出ていないが、海外ではこれも破ろうとするフィッシングサイトが出現している。ユーザーを偽サイトに誘導すると、裏でリアルタイムにネットバンキングにアクセスし、ユーザーが入力したパスワード生成機の数字を使って不正アクセスしてしまうのだ。

<メール方式>
 その都度異なるパスワードを、システム側からユーザーにメールで通知する方式で、事前にパスワード生成機を配布する必要がない。コストがかからず、すぐに利用できるのが特徴で、ネットバンキング以外のサービスでも利用されている。通知されるパスワードには有効期限があり、システムによって1分から数十分とさまざま。有効期限が短い場合やスムーズに受け取りたい場合には、ほぼリアルタイムで届く携帯メールが有効だろう。

<電子証明書方式>
 法人向けのネットバンキングでは、ネットバンクが発行する電子証明書を特定の端末にインストールし、電子証明書をインストールされた端末以外からは、ネットバンキングの操作ができないようにするサービスを提供しているところも多い。法人向けには可変パスワードはなく、この方式だけというところもあるので注意していただきたい。このサービスを利用しないと固定パスワードのみでの利用になってしまうため、パスワードを盗み取るウイルスに感染すると、簡単に不正アクセスされてしまう。

 ネットバンキングの被害補償は、預金者保護法で定められた偽造・盗難キャッシュカードに準じた対応がなされている。この補償対象となっているのは、個人ユーザーのみなので、法人ユーザーはくれぐれも注意していただきたい。

 このほかにもネットバンキングには、重要な操作が行われた際に、その都度メールで通知してくれる機能や、偽サイトに騙されないようにログイン画面にユーザー固有の画像を表示する機能など、さまざまなセキュリティサービスが用意されている。ウイルス感染やフィッシングにあわないようにするのは基本中の基本だが、万が一に備え、どのようなサービスが提供されているのかを確認し、利用できるものはフルに活用してみてはいかがだろうか。

(2012/10/26 ネットセキュリティニュース)

【関連URL】
・「預金等の不正な払戻しへの対応」について(全国銀行協会)
http://www.zenginkyo.or.jp/news/2008/02/19160000.html
・インターネット・バンキングに係る補償の対象・要件・基準等について[PDF](全国銀行協会)
http://www.zenginkyo.or.jp/news/entryitems/news200219_4.pdf

(2012/10/26 ネットセキュリティニュース)

投稿情報: 09:31 |

|