まず不正送金の手口の典型例を紹介しよう。手口を知り、オンラインバンキングに関わる従業員に周知徹底することが被害防止対策の最初の一歩になるだろう。
不正送金を行うためには、オンラインバンキングサービスへログインするためのIDとパスワードの窃取だけではなく、送金に必要な取引実行用の乱数表の数字やワンタイムパスワードを横取りする必要がある。
そこで、ウイルスを使ってユーザーのPCに正当なオンラインバンキングの画面に似せた偽画面を表示し、必要な情報の入力を誘うのがよく使われてきた1つの手口だ。ユーザーがだまされて情報を入力してしまうと、ウイルスの機能により即座に情報が攻撃者側のサーバに送信され、それを使って不正送金が実行される。
画面は企業ロゴやデザインをコピーして本物そっくりなので、正当なものと見分けるのは難しい。しかし、よく見てみれば普段の画面とは細部が異なることが多い。例えば、以下のような普段と違う操作を要求されることがある。
%リスト
金融機関の正規サイトが普段と違う操作を求めることはほとんどない。あったとしても事前にメールなどで通知があるはずだ(ただし、通知メールも偽装の可能性があるので、必ず正規サイトの「おしらせ」などを確認すること)。
このような怪しいポップアップ画面などが表示されたらウイルス感染している可能性があるため、その端末をネットワークからすぐに切り離し、金融機関やIPAなどの相談窓口に連絡することをお勧めする。もしも情報を入力してしまった後なら、まずは早急に金融機関に連絡すべきだ。
なお、ワンタイムパスワードを利用しているからといって安全とは限らない。時間同期方式のワンタイムパスワードでは、数十秒から1分程度でパスワードが切り替わるまでの間にパスワード窃取とそれを利用した自動不正送金が行われる可能性がある。
全ての入力がリアルタイムに攻撃者に筒抜けになり、その情報での不正送金操作が即座に行われるように自動化されているのだ。ユーザーの画面には「処理中です」などと表示して、その間の操作をさせない工夫もされている。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。