2016年3月24日

バンキング型トロイの木馬が2段階認証を迂回する仕組み

ヒント 脅威

(訳注)日本の場合、銀行ではSMSを使った2段階認証はほぼ行われていませんが、一部決済サービスでは使われています。

SMSを使用した2段階認証は、銀行でよく使われています。もちろんパスワードだけを使うのよりも効果の高い方法ですが、それでも突破不可能というわけではありません。2段階認証が普及し始めたばかりの10年前に、この方式をすり抜ける手法をセキュリティ専門家が発見しました(英語記事)。

banking-trojans-bypass-2fa-featured

同じく、マルウェアの作成者も発見しました。だからこそ、バンキング型トロイの木馬の開発者がSMSのワンタイムパスワードを簡単に破ることができるのです。次のような仕組みです。

  1. ユーザーがスマートフォンで正規のバンキングアプリを起動します。
  2. どのアプリが使用されているかをトロイの木馬が検知し、アプリのインターフェイスに重ねて偽のインターフェイスを表示します。偽の画面は本物の画面とそっくりで見分けがつきません。
  3. ユーザーが偽のアプリにログイン名とパスワードを入力します。
  4. 入力された認証情報を、トロイの木馬が犯人に送信します。犯人はその情報を使用してユーザーのバンキングアプリにログインします。
  5. 犯人はユーザーのアカウントで金融取引を依頼します。
  6. 被害者のスマートフォンにワンタイムパスワードが記載されたSMSが届きます。

  1. トロイの木馬がSMSからパスワードを抜き出し、犯人に送信します。
  2. トロイの木馬はそのSMSをユーザーに見えないようにします。そのため、被害者となったユーザーは、銀行口座や取引明細を確認するまで被害に遭ったことに気づきません。
  3. 犯人は盗んだパスワードを使用して取引を進め、被害者のお金を受け取ります。

最新のバンキング型トロイの木馬は、どれもSMSを使用した2段階認証を迂回する機能を備えていると言っても過言ではないでしょう。というより、マルウェアの作成者はそうするしかありません。銀行が軒並み2段階認証導入へと移行している以上、トロイの木馬もそれに適応せざるを得ないのです。

2段階認証を迂回できる悪意あるアプリは、意外なほどたくさんあります。ここ数か月ほどの間にも、当社のエキスパートが3種類のマルウェアファミリーに関する詳細な報告書を3件発表しました。どのマルウェアも負けず劣らずの恐ろしさです。

  1. Asacub — スパイアプリがトロイの木馬に進化し、モバイルバンキング口座からお金を盗むようになりました。
  2. Acecard — 30近くものバンキングアプリのインターフェイスを偽装できる強力なトロイの木馬です。ちなみに、現在トレンドの中心にあるのはモバイルマルウェアです。当初、トロイの木馬はある特定の銀行や決済サービスのアプリを標的としていましがが、現在では一度に複数のアプリを偽装できるようになっています。
  3. Banloader — ブラジルを起源とするクロスプラットフォーム対応のトロイの木馬です。PCとモバイルデバイスで同時に起動できます(英語記事)。

以上のことからわかるように、2段階認証ではバンキング型トロイの木馬に対抗できません。この状況は数年前から続いており、現在も改善の兆しは見えません。ですから追加のセキュリティ対策が必要です。

アプリは公式ストアからのみダウンロードする、という基本原則は有効ですが、100%安全が保証されるわけではありません。トロイの木馬がGoogle PlayApp Storeにまで侵入したケースも、無視できないほど実在します。

最も信頼性の高い対策は、モバイルデバイス向けのアンチウイルス製品をインストールすることです。まずはカスペルスキー インターネット セキュリティ for Androidの体験版を試してみるのもいいでしょう。無料ですが、デバイスのスキャンを定期的に手動で行う必要があります。フル機能版の方は有料ですが自動でウイルスが検知されます。