企業の被害が再び増加、ネット口座の不正送金を防ぐには?:セキュリティ強化塾(2/6 ページ)
2014年度のオンラインバンキングに関わる不正送金は1876件、被害は29億円(法人口座だけで10億超)と過去ワースト。対策の術はあるか。
まず不正送金の手口の典型例を紹介しよう。手口を知り、オンラインバンキングに関わる従業員に周知徹底することが被害防止対策の最初の一歩になるだろう。
ユーザー企業のPCをウイルスに感染させ偽画面を表示する手口
不正送金を行うためには、オンラインバンキングサービスへログインするためのIDとパスワードの窃取だけではなく、送金に必要な取引実行用の乱数表の数字やワンタイムパスワードを横取りする必要がある。
そこで、ウイルスを使ってユーザーのPCに正当なオンラインバンキングの画面に似せた偽画面を表示し、必要な情報の入力を誘うのがよく使われてきた1つの手口だ。ユーザーがだまされて情報を入力してしまうと、ウイルスの機能により即座に情報が攻撃者側のサーバに送信され、それを使って不正送金が実行される。
画面は企業ロゴやデザインをコピーして本物そっくりなので、正当なものと見分けるのは難しい。しかし、よく見てみれば普段の画面とは細部が異なることが多い。例えば、以下のような普段と違う操作を要求されることがある。
%リスト
- ログイン直後に「コンピュータが認識できません」などのメッセージを表示し、乱数表の数字やワンタイムパスワードなどの取引用情報の入力を求める
- ログイン後の取引中に「安全が確認されなかったので取引を停止しています」といったエラー画面を表示し、「解除するには再登録を」と取引用情報の入力を促す
- ログイン時に「セキュリティ対策の強化のために個人情報を確認しています」というようなポップアップ画面を表示して契約カードの画像データを送るように求める
- ログイン直後や入出金明細照会の際に、「ダウンロード中」「読み込み中」などの表示を出して取引用情報の入力を求める
- 1つの画面で、契約番号、ログインパスワード、確認パスワード、合言葉(秘密の質問、秘密の答え)など全ての情報入力を求める
金融機関の正規サイトが普段と違う操作を求めることはほとんどない。あったとしても事前にメールなどで通知があるはずだ(ただし、通知メールも偽装の可能性があるので、必ず正規サイトの「おしらせ」などを確認すること)。
このような怪しいポップアップ画面などが表示されたらウイルス感染している可能性があるため、その端末をネットワークからすぐに切り離し、金融機関やIPAなどの相談窓口に連絡することをお勧めする。もしも情報を入力してしまった後なら、まずは早急に金融機関に連絡すべきだ。
なお、ワンタイムパスワードを利用しているからといって安全とは限らない。時間同期方式のワンタイムパスワードでは、数十秒から1分程度でパスワードが切り替わるまでの間にパスワード窃取とそれを利用した自動不正送金が行われる可能性がある。
全ての入力がリアルタイムに攻撃者に筒抜けになり、その情報での不正送金操作が即座に行われるように自動化されているのだ。ユーザーの画面には「処理中です」などと表示して、その間の操作をさせない工夫もされている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.