オンラインバンキング、真の課題

2012年12月20日

近年、ユーザーのお金を狙ったサイバー犯罪者の動きはますます高まりを見せています。クレジットカード番号、オンラインバンキングのログイン情報、パスワードやパスコードだけでなく、その他多くの情報がマルウェアによって収集されています。ところで、真の標的は一体誰なのでしょうか。2012 年 5 月、Kaspersky Lab は調査会社の O+K Research 社と協力し、アンケート調査を実施しました。それによると、回答者のうち 69 % がオンラインバンキングサービスを利用していることがわかりました。つまり、インターネットユーザーの大半が標的になるということです。

攻撃者は、いくつかのソーシャルエンジニアリングの技法を用いて金融情報へアクセスします。銀行口座のログイン情報を取得するために作られた銀行情報用のトロイの木馬が 1 つあれば、オンライン口座から預金をそっくり引き出すことができてしまいます。データ泥棒に人気の手口には、銀行を装って大量のメールを送信する方法があります。メールの内容は、詐欺師の腕や創作力によって異なります。通常は、正規のメールをそのままコピーし、もっともらしい理屈を付け足した偽メッセージを作成し、銀行の公式 Web サイトへログインさせようと誘導します。メッセージ内のリンクをクリックすると、少し間を置いてから Web サイトが表示されます。この「間」こそが、感染サイトへリダイレクトにかかった時間です。銀行サイトへ接続させる前に、標的の PC には感染サイトからの不正なオブジェクトがこっそりダウンロードされます。以降、銀行サイトで入力した文字は、すべてマルウェアが盗んでいくことになります。

support-account-email

別のケースでは、銀行の公式サイトと非常にそっくりなドメイン名に完全なコピーサイトを開設し、リンクで誘導する方法があります。PC は感染被害に遭いませんが、そのフィッシングサイトに入力されたデータはもれなくサイバー犯罪者の手へと渡ります。

PC に感染した不正なオブジェクトは、密かに別のモジュールをダウンロードし、インストールします。たとえば、キーボードの入力データを傍受するキーロガーなどです。傍受するデータは、オンラインバンキングでの取引に使用した認証情報など、何でも考えられます。特にサイバー犯罪者は、コンピューター内に保存されたファイルから銀行関連の情報を抜き取るトロイの木馬を好んで使います。トロイの木馬の中には、ネットバンクのシステムに接続するときだけ動作するものがあります。銀行サイトに接続しようとすると、トロイの木馬は銀行の公式 Web サイトではなく不正サイトにリダイレクトしたり、公式サイトがブラウザーで読み込まれたときに独自のフィールドを追加して Web ページを変更したりします。有名な例では トロイの木馬 ZeuS があります。ZeuS は 2009 年、米国で 360 万台ものコンピューターに感染しました。

2012 年初めの数か月間、Kaspersky Lab では銀行へのログイン情報を狙った不正プログラムを検知しており、その数は 15,000 をやや上回りました。いずれかに PC が感染していた場合、近いうちに銀行口座から預金が消えるかもしれません。

 

Bank-of-America

 

サイバー犯罪者から顧客を守るため、銀行はいくつかの手段を取り入れています。まずは、安全で暗号化された接続を提供し、トランザクション時の傍受からデータを守る方法です。ただし、コンピューターがすでに感染している場合は、この対策は通用しません。2 つめは、標準的なパスワード認証の代わりに 2 段階認証を採用する方法です。一部の銀行では導入されています。この方法では、システムへのログインで定常的に使うパスワードと、毎回のトランザクションで変わるワンタイムパスワードの 2 つを使います。つまり、詐欺師がログイン ID とパスワードを盗み出すのに成功したとしても、お金を使うことができないということです。残念ながら、サイバー犯罪者はこの種の対策の回避策を見つけています。ZeuS のモバイル版(ZeuS-in-the-Mobile または ZitMo)は、コンピューターだけでなくスマートフォンにも感染を拡げることで、ワンタイムパスワード(mTAN)を含むテキストメッセージを傍受します。

以上のことからわかるとおり、サイバー犯罪者は金融情報を盗むためにますます高度なツールを開発しており、一方の銀行はというと、自らを守るためのセキュリティ対策が確立できていないのが現状です。オンラインバンキングを安全に行うには、ノート PC、PC、モバイルデバイスに対応した包括的なセキュリティソフトウェアが必要です。ノート PC と PC 用には、「カスペルスキー インターネット セキュリティ 2013」を推奨します。また、Android ベースのモバイルデバイス用には、デバイスの種類に応じて「カスペルスキー モバイル セキュリティ」または「カスペルスキー タブレット セキュリティ」が提供されています。