被害が急増しているネットバンキングの不正送金は、利用者のパソコンをウイルスに感染させ、不正なポップアップ画面を表示させて入力情報を奪う手口が主流だが、最近はそれに加えて「ワンタイムパスワード」が奪われる例が出現している。IPAは「9月の呼びかけ」で、この新たな手口について解説し、対策を呼び掛けている。
■被害の急増と不正送金の手口
警察庁の発表によると、今年1月から7月までのネットバンキングの不正送金による被害額は、過去最悪だった2011年の年間被害額(約3億800万円)を超えた。IPAに寄せられる相談でも、ネットバンキングの不正送金に関する相談の件数が、6月以降目立っているという。ネットバンキング不正送金の手口は、利用者のパソコンをウイルスに感染させて正規銀行のログイン時に不正なポップアップ画面を表示させ、IDやパスワード、乱数表、合言葉などの認証情報をすべて入力させて奪い取るやり方が主流となっている。その対策として「ワンタイムパスワード」の利用が推奨されているが、最近はその「ワンタイムパスワード」が奪い取られる例が出現している。
■「ワンタイムパスワード」を奪い取るウイルス
ワンタイムパスワードとは、通常の固定された認証情報(ID/パスワード)にくわえ、取引のたびに利用者に伝えられる使い捨てのパスワードで、安全対策として個人向けネットバンキングの多くが導入している。ワンタイムパスワードを受け取る方法はいくつかあるが、IPAによると、「メールで受け取るタイプ」で、そのメールが「広く利用されているWebメール」である場合、認証が破られてしまう可能性があるという。
<ウイルス感染が前提>
このワンタイムパスワードの詐取も、利用者のパソコンがウイルスに感染していることが前提だ。偽ポップアップ画面を表示するウイルスは、日本の銀行とその利用者を攻撃対象として特化したウイルスで、最近では銀行のほかに、Gmail、Yahooメール、Windows live(Hotmail)なども情報詐取の対象としていることが判明している(トレンドマイクロ公式ブログ=下記関連URL参照)。
このウイルスに感染したパソコンでネットバンキングを利用した場合、ログイン時の偽ポップアップ画面で入力したIDやパスワードなどの情報が奪われるだけでなく、ワンタイムパスワードを受信するためのWebメールサービスのID、パスワードも盗み取られてしまう。ワンタイムパスワードを受け取る方法は、ワンタイムパスワード生成器の「ハードウェアトークン」や、携帯電話やスマートフォンの「ソフトウェア(アプリ)トークン」を使う方法もある。IPAによれば、これらを使えば今回の攻撃に対しては安全だ。
■ワンタイムパスワードを適切に利用しよう
IPAは、ネットバンキングの被害にあわないために2つの対策を提示している。1つはウイルス感染対策で、OSやアプリケーションの脆弱性を解消することと、セキュリティソフトを導入して定義ファイルを最新に保って使用すること。もう1つはネットバンキング特有の対策で、以下の4点を挙げている。
(1)ワンタイムパスワードの適切な利用:ネット銀行がワンタイムパスワードを提供している場合、積極的に利用したい。ただし、メールで受け取る場合には、携帯電話会社から提供されるメールアドレスを推奨する。携帯電話会社のメールアドレスは、ID、パスワードによる認証ではないため、詐取は難しい。
(2)乱数表、合言葉などをすべて入力しない
(3)メール通知サービスを携帯電話宛に設定する
(4)ブックマーク、バンキングアプリを利用する
(2013/09/03 ネットセキュリティニュース)
【関連URL】
・2013年9月の呼びかけ「インターネットバンキング利用時の勘所を理解しましょう!」(IPA)
http://www.ipa.go.jp/security/txt/2013/09outline.html
・オンライン銀行詐欺ツール「Citadel」:日本での被害増加を確認、国内で2万台以上の感染(トレンドマイクロ、2013年7月23日)
http://blog.trendmicro.co.jp/archives/7547