オンラインバンキングの不正送金被害が増加傾向にあることを受け、IPA(情報処理推進機構)が「今月の呼びかけ」で、最新の手口と被害から身を守るための対策を呼びかけている。
オンラインバンキングについての注意喚起は、2日付の記事で警察庁のものをご紹介している。警察庁の呼びかけは、フィッシングが先月から増加していることを受けたものだが、IPAのものは、先々月話題になった被害額の急増とウイルスの新手口を受けての注意喚起だ。
警察庁のまとめによると、オンラインバンキングの不正送金被害は、昨年、過去最高の14億600万円を記録した。今年に入ってからは、それを上回る勢いで増え続けており、5月9日時点で、昨年1年を上回る14億1700万円に達したという。そんな警察発表と前後して、三井住友銀行からは、ウイルスによる新たな手口の被害が報告された。
■進化するウイルス攻撃
不正送金を目的とした攻撃が目に見えて活発化し出したのは、2011年の春からだ。当初は、ウイルスに感染したパソコンからアカウント情報を盗みだす手口が使われ、夏頃からは、本物そっくりに作られた偽のサイトに誘導してアカウント情報などをだまし取る、フィッシングが頻発するようになる。
現在主流のウイルス攻撃は、ログイン時に不正なポップアップ画面を表示し、不正送金を行うのに必要な情報(第二暗証番号や乱数表の数字、秘密の合言葉など)を入力させて窃取する。日本向けにカスタマイズされたZeus/Zbot系のウイルスを使ったこのタイプの攻撃は、2011年10月に登場し、2012年に本格化する。昨年は、その場限りの使い捨ての暗証番号(ワンタイムパスワード)をメールで送るタイプの認証に対応すべく、一部のWebメールのアカウントを窃取する機能が実装される。メール方式のワンタイムパスワードは、その送付先を乗っ取ってしまえば無力化してしまうのだ。
ウイルスを使ったここまでの手口は、いずれもIDやパスワードなどを盗み取った後、攻撃者がユーザーに成りすましてアクセスし、不正な送金を試みるというものだった。5月に公表された新たな手口では、入力させたその場でウイルスが不正送金を試みるようになったという。リアルタイムで処理するため、短時間で無効になるはずのワンタイムパスワードが有効期間内に使われてしまう。三井住友銀行の発表によれば、この種の攻撃が今年3月から行われていたという。
■おかしな「ふるまい」を察知しよう
少しずつ高度化しているウイルス攻撃ではあるが、今のところはまだ「偽の画面」を表示して必要な情報を窃取するという、旧来からの手法が用いられている。基本的なセキュリティ対策(OSやソフトウェアのアップデート、ウイルス対策ソフトの導入など)を実施し、ウイルスに感染しないようにするのが最重要課題だが、たとえウイルスに感染してしまっても、この「偽の画面」に気付きさえすれば被害にあわずに済む。
IPAでは、オンラインバンキングサイトの「正しい画面」と「画面遷移」を把握することを勧めている。詳しくは、IPAの「今月の呼びかけ」を参照していただきたい。編集部では、いつもと違うふるまいに「おかしい」と気付くことができるよう、秘密の情報(パスワードや秘密の質問と答えなど)に関して、どのタイミングで何をどれだけ入力するのか把握しておくことをお勧めしたい。
乱数表やメール、パスワード発生機などを使った追加認証のパスワードは、いつ入力するのが正解なのか。乱数表は、何か所入力するのか正解なのか。秘密の質問と答えは、いつどうやって入力するのか、といったことをしっかり把握しておく。そうしておくと、たとえば追加認証を取引確定時に行うところなら、ログイン直後の要求はおかしい。乱数表は指定された2か所を入力するところなら、丸ごととか1行全部とかの要求はおかしい。秘密の合言葉は、いつもと違うパソコンやブラウザーでアクセスした際に登録済みの質問がひとつ表示され、ユーザーがその答えを入力するところなら、いつもと同じ環境で要教されたり、ユーザーに質問を選択させたり、複数の質問と答えを入力させようとしたりするのはおかしいと気付くことができる。
ありえないことや普段と違うおかしなことが起きた場合には、それ以上操作せず、銀行に問い合わせるよう心がけると、被害を未然に防ぐことができる。それでも誤って入力してしまったなら、口座を不正操作されるおそれがあるので、すみやかに銀行に申し出て、不正操作の確認やパスワードの変更、乱数表などの再発行の手続きをとっていただきたい。
(2014/07/04 ネットセキュリティニュース)
【関連URL】
・2014年7月の呼びかけ「オンラインバンキングの正しい画面を知って、金銭被害から身を守りましょう!」(IPA)
http://www.ipa.go.jp/security/txt/2014/07outline.html