情報処理推進機構(IPA)は3日、ネットバンキングで「本物のサイトにアクセスした後、偽のポップアップが現れ、合言葉や乱数表の入力を促す」という新たな犯行の手口について取りあげ、対策を呼び掛けた。アクセスしているサイトは本物であるため、利用者はポップアップが偽物であることに気づきにくく、被害が広がる恐れがある。
これまでのネットバンキングを狙う詐欺は、「見た目はそっくりだが完全に別の偽サイト」へ巧みに誘導する手口や、銀行を装った偽メールに添付されたウイルスを実行すると偽の画面が出現するといった手口が使われていた。新しい手口は、ウイルスに感染したパソコンで本物のサイトにログインすると、偽のポップアップが表示されるもので、IPAはウイルスの動作解説と、被害にあわないための対策を紹介している。
■不正行為の手口とウイルスの動作
不正行為はまず、一般ユーザーのパソコンをウイルスに感染させるところから始まる。感染させる方法としては、「ウイルス添付メールを送りつける」「迷惑メールやSNS上のコメントや投稿にウイルス配布サイトのURLを記載し誘導する」「本物のWebサイトを改ざんし、別のウイルス配布サイトへ誘導する」などが考えられる。
感染したパソコンでネットバンキングのサイトにアクセスすると、ログイン時に不正なポップアップ画面が表示され、乱数表や合言葉などの入力を求めてくる。不正ポップアップ画面は本物の画面にかぶさる形で表示されるため、ブラウザのURLからは偽画面であることが判別できない。ネットバンキングが身元を保証するSSLに対応している場合も、本物のサイトの利用中に不正なポップアップ画面が出現する。
IPAが入手したウイルスの動作検証では、合言葉を要求する不正ポップアップ画面で、通常はシステム側が表示してくる質問文を利用者に選択させたり、通常は一度に一つずつ聞いてくる合言葉を一度に3つ答えさせたりするなど、不自然なふるまいを示す。
■被害を防ぐ基本対策と一歩進んだ対策
IPAは、被害を防ぐ3つの対策を挙げている。1番目はウイルスからパソコンを守る対策で、「パソコンのOSやアプリケーションの脆弱性を解消する」「ウイルス対策ソフトを導入し、定義ファイルを最新に保つ」という基本事項を大切にしよう。2番目はネットバンキング利用時の注意点で、「乱数表や合言葉などの第二認証情報を一度にすべて入力しない」こと。このような通常利用時とは異なる入力の要求があった場合は、絶対に入力せずにサービス提供元に確認しよう。3番目は、パーソナルファイアウォールやワンタイムパスワードの利用で、IPAは「一歩進んだ対策」として推奨している。
(2012/12/03 ネットセキュリティニュース)
【関連URL:IPA】
・ネット銀行を狙った不正なポップアップに注意!
http://www.ipa.go.jp/security/txt/2012/12outline.html