最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆マイクロソフト、IEの脆弱性攻撃を回避する「Fix It」公開(2014/2/21) | メイン | ◆IEのゼロデイ攻撃が日本国内にも波及~今すぐ回避策を(2014/02/26) »

2014/02/25

◆広告を悪用したフィッシングで正送金被害発生~その手口と防止策(2014/02/25)

 検索したキーワードに連動して広告を表示する検索連動型広告を悪用し、ネットバンキングを装った偽のサイトへと誘導するフィッシングが今月12日頃から行われ、だまされてしまった利用者の口座から不正送金が行われる被害が発生した。その手口と防止策をまとめた。

 標的にされた京都銀行によると、今回のフィッシングで3人の口座から計77万7100円が別の口座に不正に送金され、50万円が払い出されたという。偽の広告を配信していたヤフーによると、偽の広告が掲載されていた可能性のある期間は、2月11日から2月18日の間で、18日に京都銀行から依頼を受け広告主のアカウントを停止したという。偽サイトや偽サイトへの中継用に使用されていたWebサイトも、現在はアクセスするとYahoo! JAPANのトップページに移動するようになっている。

 検索連動型広告から誘導するフィッシングは、昨年8月にスクウェアエニックスのオンラインゲーム、ドラゴンクエストのプレイヤー専用サイトを装い、アカウント情報をだまし取ろうとするものが見つかっている。今後も同様の手口が使われる可能性があるので、今回の事例をもとに、広告を悪用したフィッシングの手口と、だまされないようにするための注意点をまとめておく。

 ちなみに、広告が掲載されていたかどうかは確認できていないが、17日頃から、京都銀行の偽サイトと同じサーバー上に名古屋銀行の偽サイトも設置されていたようだ。

■紛らわしい検索連動型広告

 検索連動型広告は、検索サイトなどで検索を行った際に、キーワードに関連したスポンサーのリンクを検索結果の上部などに表示する広告のこと。表示の仕方次第では、広告と検索結果の区別がつきにくく、公式と思ってクリックし、誘導先で悪質なソフトウェア(アドウェアやブラウザーハイイジャッカー、偽セキュリティソフト、偽メンテナンスソフトなど)をインストールしてしまうといった事例もよく聞く。  今回のフィッシングは、この検索連動型広告を偽サイトへの誘導手段に悪用したもの。ユーザーが公式サイトを探すつもりで銀行名を検索すると、検索結果よりも先に「京銀ダイレクトバンキング」と書かれた偽の広告リンクが表示される。これを、検索結果や正規の広告と思ってクリックすると、本物そっくりの偽サイトへと誘導されてしまう。それも偽のトップページではなく、いきなり偽のログインページが登場するのだが、銀行のオンラインバンキングを探していたユーザーならば、渡りに船とばかりに、そのままログインしてしまうかも知れない。 <ポイント> ・検索結果の上下左右には、検索結果に関連した広告が表示される場合がある ・広告には偽物や悪質な業者のものが含まれていることがある ・いきなりログインページや個人情報などの入力ページが開いたら疑う

 なお、世の中には検索結果の上位に悪質なリンクを紛れ込ませようと画策する者もいる。検索結果の上位に表示されていても信頼できるとは限らないので、広告と同様の注意が必要だ。

■見えないリンク先

 広告の直接のリンク先は、通常広告の配信元のサーバーになっており、いったんここでクリック情報を収集した後、広告主が指定したリンク先へと誘導する。Webサイトによっては、同様の仕組みで検索結果などのクリック情報を収集しているところもある。このような仕組みなので、リンクにマウスポインタを重ねても、期待するようなリンク先は表示されず、事前にリンク先の正当性を判断することができない。  そうした不自由を補うために、URLやその一部を文字で表示し、リンク先を事前に判断できるようにていることがある。機械的に処理されている検索サイトの検索結果の場合には、表示されているURLが最終的なリンク先であることを期待できる。ところが広告の場合には、必ずしもこれらが一致しているとは限らない。  広告のリンク先URLと表示用URLは、広告主が個別に設定することができ、異なるWebサイトが設定されていることがある。実際に今回の偽広告では、表示用には誘導先の偽サイトのURLではなく、「www.kyotobank.co.jp」という公式サイトのURLが設定されていた。フィッシングメールではよく使われる、見た目と実際のURLを違える手法だが、それが広告リンクでも可能なことを知らないと、リンク先が公式サイトであると信じてしまうかもしれない。 <ポイント> ・見た目のURLにリンクしているとは限らない ・誘導先ではWebサイトの正当性を十分チェックする

■広告経由でしかたどり着けない細工された偽サイト

 今回のフィッシングでは、掲載された偽の広告をクリックすると、広告配信元のサーバーを経由して攻撃者が用意した中継サイトを開く。この中継サイトでは、ブラウザーのリファラー(リンク元のページ情報)をチェックし、「yahoo」や「bing」など全部で14種類の文字列のどれかが含まれている場合には偽サイトへ、どれも含まれていない場合には正規サイトへと誘導する仕掛けになっていた。想定したサイトでクリックして来たかどうかをチェックしているのだ。  偽サイト側では、今度はリファラーに「biso」か「searchjpwatch」が含まれていることをチェックし、含まれていない場合には正規サイトへと誘導する。「biso」についてはよくわからないが、「searchjpwatch」は中継サイトに使用していたドメイン「searchjpwatch.com」のことで、この中継サイトを経由して来ると偽のログインページが出現する。すなわち、実際に表示された広告をクリックすれば偽のログインページに誘導されるが、広告のリンク先や偽サイトを直接開いても偽サイトにはつながらず、正規サイトに誘導しているように見えてしまう。  偽サイトへと誘導する怪しいはずの広告が、事前審査をまんまとすり抜けて掲載されてしまった背景には、この仕掛けが一役かっていたのかもしれない。

■本物そっくりの偽サイトの見分け方

 訪問したWebサイトの正当性は、どのようにチェックすればよいのだろうか。あらゆるWebサイトに適用できるチェック方法となると難しいが、オンラインバンキングなどのフィッシングの標的になるようなWebサイトの場合には、簡単にチェックする方法がある。  京都銀行と名古屋銀行の偽サイトは、どちらも本物のサイトのログインページを改造したものなので、見た目は本物のサイトそっくりに見える。見た目はいくらでも真似できるので、ごまかされないようにするためには、本物にしかできない部分に注目する。  本物のサイトでは、SSLという暗号化通信の仕組みを使って接続するようになっているのに対し、偽物はSSLに対応していないことが多い。本物のログインページは、アドレスバーのURLが「https:」で始まり錠前マークが表示されるが、偽物のURLは「http:」で始まり錠前マークは表示されない。  これだけだと、SSL対応の偽物にだまされてしまう可能性が残る。そこで注目するのが、オンラインバンキングの9割以上が「EV SSL」という特別な証明書を使用している点だ。この証明書は、運営会社の実在確認を経て発行されたもので、対応サイトを対応ブラウザー(パソコン用の主要なブラウザーなら最近のもの全てが対応している)で開くと、錠前マークに加え運営会社の名前も表示される。  京都銀行や名古屋銀行のオンラインバンキングは、NTTデータのインターネットバンキングサービス「ANSER-WEB」を利用しているため、銀行名ではなく「NTT DATA CORPORATION」という表示になってしまうところにやや難があるが、ここは偽サイトに真似できない点だ。  EV SSLではない普通のSSL証明書の場合には、このような表だった表示はないが、大手の場合には、普通のSSL証明書でも運営会社の実在確認を経て発行されたものを使用していることが多い。運営会社の実在確認が行われている場合には、錠前マークをクリックするなどの方法で証明書の中身をチェックすると、運営会社名を確かめることができる。  証明書の詳細情報を開いてサブジェクト(Subject)欄を表示し、「O=」の項目がある場合には、そこに書かれているのが運営会社などの名前だ。 <ポイント> ・錠前マークと運営会社を確認

■URLのドメイン名も重要ポイント

 アドレスバーに表示されるURLのドメイン名も、偽物には真似できない重要なポイントだ。例えば「http://security-t.blog.so-net.ne.jp/」なら「so-net.ne.jp」の部分がドメイン名になる。Internet ExplorerやFirefoxで閲覧している場合には、ドメイン名が強調表示されるので識別しやすい。  「ANSER-WEB」のシステムを使う京都銀行(ドメイン名:kyotobank.co.jp)や名古屋銀行(ドメイン名:meigin.com)の場合は、オンラインバンキングを利用する際に各行のドメインではなく、ANSER-WEBのドメイン(ドメイン名:anser.or.jp)へ移動するので紛らわしいが、公式サイトやオンラインバンキングに使われているドメイン名を正しく覚えておくと、偽サイトにだまされにくくなる。  フィッシングを仕掛ける攻撃者は、真似することのできないドメイン名の代わりに、似たようなドメイン名や紛らわしいURLを使うことがある。今回のフィッシングの場合には、正規のURLに似せるために「paweb-anser.info」というドメインを取得し、以下のような紛らわしいURLを使って偽のログインページを用意していた。

○京都銀行  本物:www2.paweb.anser.or.jp/BS?CCT0080=0158  偽物:kyotobank.paweb-anser.info/or.jp/BS_CCT0080/0158/login.php ○名古屋銀行  本物:www2.paweb.anser.or.jp/BS?CCT0080=0543  偽物:meigin.paweb-anser.info/or.jp/BS_CCT0080/0543/login.php

 公式サイトを検索して来たユーザーには、本物と偽物の識別は厳しいが、だまされてしまう前に、重要なサイトのドメイン名を正しく覚えておくか、ブラウザのブックマーク(お気に入り)に正規のサイトを登録し、ブックマーク経由でアクセスするよう心がけよう。 <ポイント> ・正規サイトのドメイン名を覚える ・正しいURLかどうかをチェックする ・予め正規サイトをブックマークに登録しておく

■より安全な認証方法を利用する

 京都銀行や名古屋銀行のオンラインバンキングでは、スマートフォンや携帯電話のアプリが自動的に生成する暗証番号(セキュリティトークン)を用いた「ワンタイムパスワード」というサービス(同種のサービスの呼称は銀行によって異なる)を提供している。自動生成される暗証番号は、1分ごとに変わるようになっているので、フィッシングなどで盗まれてもすぐに無効になり、不正アクセスを防ぐことができるという仕掛けだ。  これを利用すると、オンラインバンキングを使用する際にひと手間増えてしまい面倒だと考えるかもしれない。しかし、アプリをインストールした端末まで盗まないと、不正利用ができなくなるという大きな効果が得られる。利用していない方はぜひ利用を検討していただきたい。  利用に際しては、事前に申し込みとアプリのインストールが必要だが、どちらもオンラインで行うことができる。アプリの利用にあたっては、オンラインバンキングと端末が同じ暗証番号を共有するために、日時を使って同期をとっている点に注意していただきたい。多少の狂いは考慮されているが、利用開始時には端末の時計を正確に合わせ、普段もあまり狂わないように調整していただきたい。スマートフォンの場合は、「日付と日時」の設定で「自動設定」にしておくと、インターネット経由で正確な日時を取得し、スマホが自動的に調整してくれる。

(2014/02/25 ネットセキュリティニュース)

【関連URL】 ・当行ダイレクトバンキングの偽サイトにご注意ください![PDF](京都銀行) http://www.kyotobank.co.jp/pdf/news140218.pdf

・当行インターネットバンキングにおける不正送金について[PDF](京都銀行) http://www.kyotobank.co.jp/news/data/20140219_918.pdf

・京都銀行を装った偽サイトが確認されている件について(Yahoo! JAPAN) http://advertisingblog.yahoo.co.jp/2014/02/post_32.html

投稿情報: 10:07 |

|