インターネットバンキングの口座に不正アクセスされ、知らない間に預金が詐欺グループに送金される被害が昨年夏から急増しています。インターネットバンキングを狙ったサイバー攻撃はここ数年減少していたのに、なぜまた増加しているのでしょうか。今回はその背景や手口、そして回避するための方法などを解説していきたいと思います。
再び増加するインターネットバンキング不正送金被害
警察庁の発表によると、令和元年(2019年)9月からインターネットバンキングの不正送金事件による被害が急増しています。2019年10月における発生件数は397件、被害額は約5億1,900万円、また、11月における発生件数は573件、被害額は約7億7,600万円となり、発生件数及び被害額は平成24年(2012年)以降最高レベルとなっています。警察庁の今年2月の発表によると、被害額は前年比4.4倍の20億3200万円に急増しています。
引用:警察庁サイト
インターネットバンキングを狙ったサイバー攻撃は2014年、2015年の被害額30億円をピークにここ数年で大幅に減少し、グラフの通り横ばいしていました。金融期間が二段階認証、二要素認証といった対策を業界全体で導入したり、注意喚起したりしてきた結果です。
従来のインターネットバンキング不正送金の手口
従来に多発していたインターネットバンキング不正送金の手口は、大きく分けて2つあります。1つ目は、メールなどで不正なサイトへ誘導し、アカウント情報を盗み取る「フィッシング詐欺」です。そして2つ目は、2012年頃から蔓延している「不正送金ウイルス(マルウェア)」です。
フィッシング詐欺
フィッシング詐欺の場合、実際に存在する銀行やクレジットカード会社、ショッピングサイト、SNSなどを装った偽のメールやショートメッセージ(SMS)が送付され、本物のログインページを精巧に模した「偽のログインページ」に誘導されます。この偽ログインページで入力されたアカウント情報などは、悪意のある第三者に送信されます。そしてその情報で、口座から預金を不正に引き出すのが典型的なものです。実際に送付されてくるメールでは、「システムトラブル」や「セキュリティ対策のため」などを装い、偽のログインページにアカウント情報を入力させるよう巧みに誘導する文面になっています。フィッシングで偽サイトに誘導されている場合は、URLなどを確認することで正規のサイトであるかどうかを確認できます。
ウイルス(マルウェア)の感染
メールの不正な添付ファイルや改ざんされたWebサイトの閲覧などから使用者をウイルスに感染させます。そして、正規のネットバンキングサイトへのアクセスを検知すると、アカウント情報(IDやパスワード、乱数表など)を盗み、不正送金を行います。これらのウイルスは「Banking Trojan」や「MITB(Man In The Browser)」とも呼びます。例えば、偽のログインページをポップアップ画面で表示させアカウント情報を入力させたり、キーボードの入力情報やマウスの操作情報を記録して外部に送信したりするほか、ログイン画面のスクリーンショットを撮影して外部に送信するものもあります。ウイルスに感染している場合は、フィッシングの場合と違い正規のログインページに接続したとき情報を盗まれます。よって、URLをチェックして詐欺に気づくことが困難になります。
従来の手口に対する対策方法
二段階認証
二段階認証はID・パスワードに加え、さらに別の方法で本人性確認を行うことでより安全にサービスを利用するためのシステムです。一度限り有効なパスワード(ワンタイムパスワード)を生成するトークンや、SMS認証などを利用して別の一度限りのパスワード等を入手し利用します。二段階認証で取得したパスワードは一度使用すると無効になるため、使用後に第三者へ漏えいしても不正ログインやアクセスに利用されません。
二要素認証
単一の認証要素だけでの認証ではなく、「知識認証+所有物認証」「知識認証+生体認証」というように二種類の認証要素を組み合わせて認証を行います。例えば、銀行ATMでの暗証番号と静脈認証との組み合わせによる二要素認証が取り入れられています。あらかじめ静脈認証用の情報を銀行窓口で登録し、その静脈認証情報をICチップに埋め込んだキャッシュカードを発行してもらいます。これを使ってATMで取引操作を行うときには、キャッシュカードの暗証番号という「知識認証」と、センサーに読み取らせた静脈情報という「生体認証」を組み合わせた二要素認証が行われ、取引ができるようになります。
増加の背景は新しい手口の登場
これまでの対策によって件数が減少していたのに、なぜ再び増加に転じているのでしょうか。それは従来の対策方法が破られてしまったことが原因です。現在指摘されている新たな手口には以下のようなものがあります。
SIMスワッピング
携帯電話の紛失を装って電話番号とSIMカードで紐付けられている情報を変更し、個人情報を窃取したり銀行口座へ不正アクセスする手法です。SIMスワッピングの犯人はまず通信キャリアに「携帯電話を紛失した」と連絡してSIMの再発行を依頼します。その後、被害者の電話番号を手元のSIMカードに紐付け、事実上、被害者の携帯電話を乗っ取ってしまいます。乗っ取った後はSMSなどで送信される認証コードが手に入り放題なので、いくらオンラインバンキング側で多要素認証を実装していても意味がなくなります。TwitterのCEOであるジャック・ドーシーも2019年8月、SIMスワッピングによって Twitterアカウントを乗っ取られ、なりすましツイートをされたことがニュースになっています。SIMスワッピングは、被害者の電話番号と使用している通信キャリアを特定するだけで実行されることができます。 つまり、SIMを再発行する携帯キャリア側の本人確認をパスする必要があり、 生年月日やその他個人情報が要求されます。なので、SNSなどで容易に推測されてしまうような個人情報を公開しないように気を付けておくことなどが重要です。
二要素認証を破るツール
「Modlishka(モディスカ)」は偽のWebページと本物のWebページの間で動作するリバース・プロキシ・ソフトウェアであり、2019年にポーランドのセキュリティ研究者によって公開された新しい侵入テストツールです、かつてないほど簡単にフィッシング攻撃を自動化することができ、さらには二要素認証によって保護されたアカウントのログイン操作を通過させることさえできます。具体的には、正規サイトの情報を基にフィッシングサイトを自動的に生成し、もし利用者が二要素認証のコードを入力した場合そのセッションを詐取してリアルタイムに乗っ取ってしまいます。Modlishka以外にも2019年には「Muraen」や「NecroBrowser」のような透過的なプロキシーを利用する手法が相次いで公開され、多要素認証が破られやすくなりました。こうした新しい手口が台頭し、昨年9月以降インターネットバンキング不正送金被害が急増しているとみられています。
さいごに
詐欺被害に遭わないようにするためには、これまで以上に最新のフィッシング手法の変化を知り、不審なメッセージに注意していく必要があります。また、フィッシングという脅威のリスクを下げるためにセキュリティソフトを必ずインストールし、最新の状態に保つことが基本となります。古典的なフィッシングも依然として出回っているので、金融庁が公開しているように以下のような基本的な対策も改めて見直してみることをお勧めします。
・心当たりのないSMS等は開かない。(金融機関が、ID・パスワード等をSMS等で問い合わせることはありません。そのようなメールが来た場合は、直接金融機関に問い合わせましょう。)
・金融機関のウェブサイトへのアクセスに際しては、事前に正しいウェブサイトのURLをブックマーク登録しておき、ブックマークからアクセスする。
・各銀行のウェブサイトにおいて、インターネットバンキングのパスワード等をSMS等で求めないといった情報を確認する。
・表示されたウェブサイトのURLを確認する。
・パソコンのセキュリティ対策ソフトを最新版にする。引用:金融庁サイト
また企業もこうしたサイバー攻撃対策として、Webアプリケーションファイアウォール(WAF)、ゲートウェイ型アンチウイルス、IPSなど不正な通信をゲートウェイで守る多重対策を取り入れる必要があるでしょう。
