オンライン決済:脅かすものとその対策

2013年10月3日

オンラインショッピング、オンラインでの送金、そしてオンラインバンキングによって、私たちは多くの時間を節約できるようになり、ますます生活が便利になっています。しかしそうしたテクノロジーによって便利さを感じているのはサイバー犯罪者も同様で、オンラインでの決済は金銭を盗み取る、新しくて直接的な手段となっています。盗んだ決済データの使用は、手っ取り早く金銭を得るためによく使われる効果的な方法なのです。銀行も顧客を守ろうと奮闘していますが、個人ユーザーへの攻撃は止むことがありません。銀行のハッキングには時間と費用がかかり、捕らえられる危険性も高くなります。反対に、個人の顧客を攻撃するのは簡単です。多数の脆弱性が潜むコンピューターを使っている顧客は少なくないからです。乗っ取ったオンラインバンキングのアカウントそれぞれから少しずつ金銭を盗めば、サイバー犯罪者は気付かれずにやりおおせることもできます。個人ユーザーへの攻撃はほとんどが自動化されており、実際に何かを操作をしている人はいないことが多いのです。

ネット決済保護:奴らの手口とその対処-title

大量感染兵器

オンラインバンキングを狙うトロイの木馬がこの数年で広まっています。コンピューター上のアプリケーションを最新版に保たない大勢の人々が将来の犠牲者になる可能性があり、サイバー犯罪者に大きなチャンスを与えています。トロイの木馬はワークステーションに感染し、個別に決済情報を収集します。ユーザーに成り代わって金銭取引を行うものまであります。

たとえばオンラインバンキングを狙うトロイの木馬「ZeuS」は、独自のデータ入力フォームをWebページへ挿入し、ユーザーの詳しい決済情報を詐取します(カード番号、CVC2/CVV2、氏名、請求先住所など)。

また「Carberp」(ロシアのサイバースペースで広まっている悪意のあるプログラム)は、ブラウザーにコードを挿入すると、オンラインバンキングシステムのメインページから銀行カードの番号を取り出して保存し、ユーザーに追加情報(CVV2、個人情報など)を入力するように要求します。

このようなWebインジェクションの他にも、トロイの木馬はさまざまなテクニックを駆使して決済情報を取得します。たとえば先ほど触れたマルウェア「Carberp」の最新の亜種は、よく使われているオンラインバンキングシステムのコードである「iBank 2」を短時間のうちに変更し、顧客の決済情報を盗み取ります。

銀行のハッキングには時間と費用がかかり、捕らえられる危険性も高くなります。反対に、個人の顧客を攻撃するのは簡単です。多数の脆弱性が潜むコンピューターを使っている顧客は少なくないからです。

2つ目のハードルを跳び越える

銀行の中には、サイバー犯罪を防ぐため、高度な認証要素を追加で採用しているところもあります。たとえばトークンです。トークンは一意のユーザーキーが含まれた小さなUSBデバイスで、決済のたびに必要です。トロイの木馬「Lurk」の開発者は、この保護策を回避し、支払決済の承認を受ける巧妙な手段を見つけ出しました。

  1. ユーザーがオンラインバンキングシステムで支払いを開始し、必要な情報を入力します。
  2. トロイの木馬が支払情報を盗み、システムがトークンを要求するのを待ちます。
  3. オンラインバンキングシステムがユーザーにトークンを要求します。ユーザーはUSBトークンを該当のハードウェアポートに差し込みます。
  4. トロイの木馬はこれを傍受して、「ブルースクリーン」を表示させます。ブルースクリーンには後の分析のためにメモリダンプを作成中であることが表示され、操作が完了するまでワークステーションの電源を切らないようにと指示されます。
  5. 操作の完了をユーザーが待っている間(USBポートにトークンを差したまま)、サイバー犯罪者はユーザーのアカウントへのアクセスを手に入れ、決済を完了し、ユーザーの金銭を自分のアカウントに送金します。

決済のセキュリティシステム

コンピューターに入り込んだバンキングマルウェアは、決済データを盗む方法を見つけようとします。トロイの木馬は大抵、以下のようなテクニックを用います。

  • Webインジェクション(Webページのコンテンツをユーザーが見る前に改ざんする)
  • HTTP/HTTPSセッションを乗っ取る(「中間者攻撃」の典型的な例)
  • 認証フォームを偽装したり、フィッシングページに誘導したりする
  • デスクトップのスクリーンショットを撮る
  • キーボードからの入力を記録する

このような脅威が存在することを理解しておけば、決済の安全性を保つ次のようなシナリオが思い浮かぶかもしれません。

  1. ユーザーがブラウザーでオンラインバンキングのサイトを開きます。
  2. アンチウイルスソリューションがその操作を検出し、オペレーティングシステムに重大な脆弱性がないかをスキャンします。このような働きをする機能の例として「ネット決済保護」機能があります。これは決済データを保護するための機能であり、アンチウイルス製品に組み込まれたナレッジベースを使用して動作します。
  3. 同時に、アンチフィッシングモジュールが、このURLと信頼できるリソースのデータベースとを照合します。ナレッジベースからドメイン名情報を要求することで照合が行われます。
  4. アンチウイルスソリューションは、安全な接続を確立するのに使われる証明書をチェックします。
  5. 信頼できる証明書のデータベースにその証明書が見つかれば、アンチウイルスソリューションはブラウザーのプロセスを開始し、リクエストされたURLとの間に安全なHTTPS接続を確立します。ブラウザーのプロセスは、他のアプリケーションによって操作されないように、アンチウイルスソフトウェアが監視します。
  6. ユーザーは、セキュリティキーボードを使って決済情報(カード番号、CVV2/CVC2、個人情報など)を入力します。セキュリティキーボードを使うと、押下された各キーのスキャンコードがブラウザーへ安全に送信されます。

特効薬

銀行や決済のシステムは、積極的にユーザーを守る対策を講じています。高度な多要素認証、追加デバイスの使用(トークン、チップTANなど)、詐欺の可能性に関するさまざまな警告によって、顧客の資産を守ろうとしています。しかしサイバー犯罪者たちは同じくらい高度な新しい方法を編み出して、決済情報や追加の取引承認コードを盗んできました。

ですからクライアントの側で、コンピューターと通信チャネルを守り、正しいサーバーに確実に接続するための保護対策を360度張りめぐらせることが非常に重要です。これこそまさに、カスペルスキー インターネット セキュリティ(カスペルスキー マルチプラットフォーム セキュリティに同梱)で採用されているネット決済保護テクノロジーの原則です。カスペルスキー インターネット セキュリティはオンラインでの金銭詐取に対抗する包括的なソリューションで、バンキングマルウェアのあらゆる悪意あるふるまいに対して万全の保護を提供します。