オンライン決済:脅かすものとその対策

オンライン決済やオンラインバンキングによって生活は便利になりました。でもそこには危険が潜んでいます。攻撃者の手口を知っておきましょう。

ネット決済保護:奴らの手口とその対処-featured

オンラインショッピング、オンラインでの送金、そしてオンラインバンキングによって、私たちは多くの時間を節約できるようになり、ますます生活が便利になっています。しかしそうしたテクノロジーによって便利さを感じているのはサイバー犯罪者も同様で、オンラインでの決済は金銭を盗み取る、新しくて直接的な手段となっています。盗んだ決済データの使用は、手っ取り早く金銭を得るためによく使われる効果的な方法なのです。銀行も顧客を守ろうと奮闘していますが、個人ユーザーへの攻撃は止むことがありません。銀行のハッキングには時間と費用がかかり、捕らえられる危険性も高くなります。反対に、個人の顧客を攻撃するのは簡単です。多数の脆弱性が潜むコンピューターを使っている顧客は少なくないからです。乗っ取ったオンラインバンキングのアカウントそれぞれから少しずつ金銭を盗めば、サイバー犯罪者は気付かれずにやりおおせることもできます。個人ユーザーへの攻撃はほとんどが自動化されており、実際に何かを操作をしている人はいないことが多いのです。

ネット決済保護:奴らの手口とその対処-title

大量感染兵器

オンラインバンキングを狙うトロイの木馬がこの数年で広まっています。コンピューター上のアプリケーションを最新版に保たない大勢の人々が将来の犠牲者になる可能性があり、サイバー犯罪者に大きなチャンスを与えています。トロイの木馬はワークステーションに感染し、個別に決済情報を収集します。ユーザーに成り代わって金銭取引を行うものまであります。

たとえばオンラインバンキングを狙うトロイの木馬「ZeuS」は、独自のデータ入力フォームをWebページへ挿入し、ユーザーの詳しい決済情報を詐取します(カード番号、CVC2/CVV2、氏名、請求先住所など)。

また「Carberp」(ロシアのサイバースペースで広まっている悪意のあるプログラム)は、ブラウザーにコードを挿入すると、オンラインバンキングシステムのメインページから銀行カードの番号を取り出して保存し、ユーザーに追加情報(CVV2、個人情報など)を入力するように要求します。

このようなWebインジェクションの他にも、トロイの木馬はさまざまなテクニックを駆使して決済情報を取得します。たとえば先ほど触れたマルウェア「Carberp」の最新の亜種は、よく使われているオンラインバンキングシステムのコードである「iBank 2」を短時間のうちに変更し、顧客の決済情報を盗み取ります。

銀行のハッキングには時間と費用がかかり、捕らえられる危険性も高くなります。反対に、個人の顧客を攻撃するのは簡単です。多数の脆弱性が潜むコンピューターを使っている顧客は少なくないからです。

2つ目のハードルを跳び越える

銀行の中には、サイバー犯罪を防ぐため、高度な認証要素を追加で採用しているところもあります。たとえばトークンです。トークンは一意のユーザーキーが含まれた小さなUSBデバイスで、決済のたびに必要です。トロイの木馬「Lurk」の開発者は、この保護策を回避し、支払決済の承認を受ける巧妙な手段を見つけ出しました。

  1. ユーザーがオンラインバンキングシステムで支払いを開始し、必要な情報を入力します。
  2. トロイの木馬が支払情報を盗み、システムがトークンを要求するのを待ちます。
  3. オンラインバンキングシステムがユーザーにトークンを要求します。ユーザーはUSBトークンを該当のハードウェアポートに差し込みます。
  4. トロイの木馬はこれを傍受して、「ブルースクリーン」を表示させます。ブルースクリーンには後の分析のためにメモリダンプを作成中であることが表示され、操作が完了するまでワークステーションの電源を切らないようにと指示されます。
  5. 操作の完了をユーザーが待っている間(USBポートにトークンを差したまま)、サイバー犯罪者はユーザーのアカウントへのアクセスを手に入れ、決済を完了し、ユーザーの金銭を自分のアカウントに送金します。

決済のセキュリティシステム

コンピューターに入り込んだバンキングマルウェアは、決済データを盗む方法を見つけようとします。トロイの木馬は大抵、以下のようなテクニックを用います。

  • Webインジェクション(Webページのコンテンツをユーザーが見る前に改ざんする)
  • HTTP/HTTPSセッションを乗っ取る(「中間者攻撃」の典型的な例)
  • 認証フォームを偽装したり、フィッシングページに誘導したりする
  • デスクトップのスクリーンショットを撮る
  • キーボードからの入力を記録する

このような脅威が存在することを理解しておけば、決済の安全性を保つ次のようなシナリオが思い浮かぶかもしれません。

  1. ユーザーがブラウザーでオンラインバンキングのサイトを開きます。
  2. アンチウイルスソリューションがその操作を検出し、オペレーティングシステムに重大な脆弱性がないかをスキャンします。このような働きをする機能の例として「ネット決済保護」機能があります。これは決済データを保護するための機能であり、アンチウイルス製品に組み込まれたナレッジベースを使用して動作します。
  3. 同時に、アンチフィッシングモジュールが、このURLと信頼できるリソースのデータベースとを照合します。ナレッジベースからドメイン名情報を要求することで照合が行われます。
  4. アンチウイルスソリューションは、安全な接続を確立するのに使われる証明書をチェックします。
  5. 信頼できる証明書のデータベースにその証明書が見つかれば、アンチウイルスソリューションはブラウザーのプロセスを開始し、リクエストされたURLとの間に安全なHTTPS接続を確立します。ブラウザーのプロセスは、他のアプリケーションによって操作されないように、アンチウイルスソフトウェアが監視します。
  6. ユーザーは、セキュリティキーボードを使って決済情報(カード番号、CVV2/CVC2、個人情報など)を入力します。セキュリティキーボードを使うと、押下された各キーのスキャンコードがブラウザーへ安全に送信されます。

特効薬

銀行や決済のシステムは、積極的にユーザーを守る対策を講じています。高度な多要素認証、追加デバイスの使用(トークン、チップTANなど)、詐欺の可能性に関するさまざまな警告によって、顧客の資産を守ろうとしています。しかしサイバー犯罪者たちは同じくらい高度な新しい方法を編み出して、決済情報や追加の取引承認コードを盗んできました。

ですからクライアントの側で、コンピューターと通信チャネルを守り、正しいサーバーに確実に接続するための保護対策を360度張りめぐらせることが非常に重要です。これこそまさに、カスペルスキー インターネット セキュリティ(カスペルスキー マルチプラットフォーム セキュリティに同梱)で採用されているネット決済保護テクノロジーの原則です。カスペルスキー インターネット セキュリティはオンラインでの金銭詐取に対抗する包括的なソリューションで、バンキングマルウェアのあらゆる悪意あるふるまいに対して万全の保護を提供します。

オンラインで子供を守る-featured

オンラインで子どもを守るための十箇条

オンラインには、マルウェア、フィッシング詐欺、ジャンクメールなど、誰もが直面するリスクがあります。ただしそこに子供が関わっていると、違った側面が生まれます。子供たちは世の中のことをそれほど良く知らないため、情報を共有したり、詐欺メッセージに反応したり、Webページのリンクをクリックしたりすることに対して用心深さに欠けることがあります。 子供特有の危険もあります。その中には、ポルノ、暴力、ドラッグのような明らかに好ましくないコンテンツや、自傷行為や自殺を扱ったサイトなどがあります。嘆かわしいことに、ほんの数回のクリックで、そのような不適切なサイトにたどり着いてしまいます。「Peppa Pig」「Dora the Explorer」「Fireman Sam」(いずれもアニメのタイトル)など、子供が喜びそうな無害なものを検索した結果、不適切なコンテンツが表示されてしまう場合もあるでしょう。 また、子供が訪れたページにバナー広告が表示される場合もあります。コンテキストに合わせた広告を子供に配信することで、詐欺師は一体何を手に入れたいのだろうかと疑問に思うかもしれません。しかし多くの子供たちが、親のクレジットカードを使っています。これが詐欺師の主たるターゲットです。詐欺師たちはコンピューターゲームや書籍、映画、またラップトップやタブレット、スマートフォンでプレイされるゲームのアプリ内購入など、子供たちがお金を払ってほしがりそうな偽物の製品やサービスを使っておびきだそうとします。 世間をよく知っていても、テクノロジーにうとい親は少なくありません。テクノロジーを使いこなしている子供たちは大抵、そこに潜む危険には気付いていません。 何も隠さず、何でも共有 これはオンラインの安全性に関わるもう1つの側面です。今の子供たちは、「何でも共有する」文化で成長しています。ソーシャルネットワークによって、家の台所にある伝言板のようにWebを使うことができ、子供たちはそうしています。自分がどこにいるか、誰と一緒にいるか、何をしているかを写真とともに投稿し、自分たちの生活をさらけだしています。しかし台所の伝言板であれば家族や友人しか目にすることはありませんが、ソーシャルネットワークに投稿された記事は世界中の人が見ることができます。オンライン上には個人情報を悪用し、子供やティーンエイジャーのプロフィールを特定して彼らの信用を得て、現実世界で実際に会おうとする人がいるかもしれません。また、共有した写真によって仲間からいじめを受けたり、嫌なことを強制されたりするかもしれません。大人たちの多くは「何でも共有する」文化に固有の問題があることを認識できますが、子供はひとたび問題が発生しないと分かりません。 テクノロジーの世代間ギャップ 残念なことに、私たちと子供たちの間には、テクノロジーの世代間ギャップがあります。世間をよく知っていても、テクノロジーにうとい親は少なくありません。現代のテクノロジーを使えばどんなことができるかを理解していないこともあります。テクノロジーを使いこなしている子供たちは大抵、そこに潜む危険には気付いていません。 子供たちは、オンラインには良い点も悪い点もあることを理解すべきです。子供たちが成長したら、交通安全と、親のそばを歩くことの大切さを教えるのと同じことです。 監督と指導 ですから、子供が小さなうちから、子供のオンラインでの活動に関わることが重要です。そうすれば子供たちを「指導」して、オンライン体験を形作り、情報を知らせるように助けることができるでしょう。もちろん、オンラインの安全に関するメッセージは、子供の年齢に合わせたものにするべきです。小さな子供がオンラインの脅威の複雑さを理解できるはずがありません。しかし子供たちは、オンラインには良い点も悪い点もあることを理解すべきです。親と一緒に街を歩けるほどに子供が成長したら、交通安全と、親のそばにいることの大切さを教えるのと同じことです。道路を横断するときの安全性を説明することは、オンラインの世界でも重要です。有害なコードをブロックするためのインターネット向けセキュリティソフトウェアの使用、自分のデータを守るためのパスワードの重要性、個人情報を公表することの危険性などを説明するべきです。そうした説明は、子供の年齢が上がるとともに補足し、強化していく必要があります。しかし子供たちが幼いうちからセキュリティに接していれば、そうしたセキュリティ対策を邪魔だと思うことは少ないでしょう。 ここからは、子供たちのオンラインでの安全性を維持するために重要となるヒントを紹介します。 考えられる危険について子供たちと話し合う。 子供が小さなうちから、子供のオンラインでの活動に関わるようにする。そうすればそれが当然のことになり、子供たちを「指導」できる。 オンラインでの体験を話すように子供を促す(特に、不快な思いや怖い思いをした場合)。 今は「何でも共有する」文化が広がっている。子供たちは個人情報の過剰な共有に潜む危険を直感的に理解することは難しい。したがって考えられる危険を詳しく説明しておくことが重要である。 オンラインで何をして良いか、何をしてはならないかを定めた明確な基本ルールを作り、なぜそれが必要なのかを教える。子供が大きくなるにつれてそのルールを見直す必要がある。 保護者による管理(ペアレンタルコントロール)が可能なソフトウェアを使い、許される範囲を定める。どれほどの時間、そしていつオンラインで過ごして良いか、どのようなコンテンツをブロックするか、どのような活動をブロックするか(チャットルーム、フォーラムなど)など。保護者による管理のフィルターはコンピューターのプロファイルを複数設定できるため、子供に合わせてフィルターをカスタマイズできる。 プライバシーとソーシャルメディアサイトの設定に注意するように教え、投稿した記事が友人と家族にだけ公開される設定にする。 一方は世の中をよく知っており、一方には技術的知識がある。つまり親はインターネットに潜む危険について子供よりもよく知っているかもしれないが、技術面については子供の方が詳しいかもしれない。情報を交換し、お互いに教え合うようにする。 インターネットのセキュリティソフトウェアを使用して、コンピューターを保護する。 スマートフォンのことも忘れない。スマートフォンはただの電話などではなく、最新鋭のコンピューターである。ほとんどのスマートフォンにはペアレンタルコントロールの機能があり、セキュリティソフトウェアのプロバイダーは、ふさわしくないコンテンツや有害なSMSメッセージの送信者をブロックするアプリを提供している。

オンラインで子供を守る-featured
ヒント