企業の被害が再び増加、ネット口座の不正送金を防ぐには？：セキュリティ強化塾（4/6 ページ）

[キーマンズネット]

偽サイトへの誘導（フィッシング）の手口

　不正送金ウイルス登場前からある古い手口がフィッシングだ。これは金融機関のサイトとそっくりの偽サイトを立ち上げ、金融機関からのメールを装った「釣り」メールでアクセスを誘うものだ。まんまと誘導されて偽サイトにアクセスしたユーザーが、そこに表示される入力画面にログインIDとパスワードや取引用情報を入力してしまうと、攻撃者が全ての入力情報を手に入れることになる。

　基本的には「ユーザー企業のPCをウイルスに感染させ偽画面を表示する手口」と同様の手口だが、攻撃者にとってはウイルスを感染させる手間もなく、手軽な手法だ。

　実際には正規サイトと異なるURLにアクセスしていても、巧妙に「本物」サイトに似せた画面が作られ、URLも正規サイトと同じ文字列を一部に使用しているケースもあるため、URLが違っていることに気付けないことがある。またメールアドレスさえ分かれば大量にフィッシングのためのメールをばらまけるため、今でも銀行などを装った偽サイトへのフィッシング事例が後を絶たない。

Webブラウザからの送信情報を改ざんするMITB（Man in the Browser）攻撃

　例は少ないもののウイルスを利用してWebブラウザの動作を監視し、オンラインバンキングの利用中に送信される情報を改ざんする手口も発見されている。これはブラウザと金融機関サイトとの間にウイルスおよび攻撃者がこっそり入り込むという意味でMITB（Man in the Browser）と呼ばれている。

　ユーザーが送金操作をすると、その送金先を攻撃者側の口座に書き換えてしまう。認証機能は役に立たず、気付かないままに不正送金が実行されることになる。