「ご確認」メールで、あなたの会社の銀行口座が狙われる:セキュリティ強化塾(3/3 ページ)
突然、亜種が生まれ、大量の攻撃が発生するマルウェア。日本語メールで銀行口座を狙う「URSNIF」が復活した。
認証手段を攻撃する手口が確認されている
しかし、実は「ワンタイムパスワード」「電子証明書」による認証方法も、既に攻撃の対象になっている。
ワンタイムパスワードは、通常のパスワードや乱数表を盗まれてしまったときの「なりすまし」対策にはなるが、冒頭で触れたようにマンインザブラウザ攻撃によってセキュリティを突破されてしまう可能性がある。なお、これに対抗するための手段として、海外では「トランザクション署名」という方法が浸透し始めている。
一方で、電子証明書による対策は、それを運用する「人」が狙われる。PC内に保管した電子証明書の設定に不備があると、電子証明書自体がコピーされて持ち出される可能性がある。設定が正しく行われていたとしても、マルウェアが既存の電子証明書を「消去」し、ユーザーが再発行するようにワナを仕掛け、それをコピーしてかすめ取るという手法が明らかになっている。
インターネットバンキングからの不正送金は、多額の金銭が絡んでくる犯罪だ。リスクはあってもリターンが見込めるため、攻撃者はあらゆる手を使い、企業の担当者とシステムをだまそうとする。ワンタイムパスワードや電子証明書によるセキュリティ対策は確実に効果があるが、その対策に慢心していると攻撃者はその裏を突いてさらなる高度な攻撃を行う。まずは自社が平均的な対応ができていることを確認し、その上で「慢心しない」というのが重要だ。
重要なのは「基本的な対策」+α
では、あらためてインターネットバンキングを行うPCに必要な対策を考えてみよう。IPAでは、インターネットバンキングを行うPCに対して、下記の点を対策として行うことを勧めている。
- インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定する
- 銀行が提供する中でセキュリティレベルの高い認証方法を採用する
- 銀行が指定した正規の手順で電子証明書を利用する
- インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定する
- PCや無線 LANのルーターなど、未利用時は可能な限り電源を切断する
- 取引の申請者と承認者とで異なるPCを利用する
- 振込や払い戻しなどの限度額を必要な範囲内でできるだけ低く設定する
- 不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認する
この中で、最も効果的なのは「インターネットバンキングに利用する端末ではインターネットの利用をインターネットバンキングに限定する」という点だろう。
多くのマルウェアは「メール内のリンクをクリックさせる」「メールの添付ファイルをクリックさせる」「Webサイトのリンクをクリックさせる」ことで感染を狙う。ならば、オンラインバンキング専用端末を用意して、メールや金融機関以外のWebサイトの閲覧を一切行わなければ被害に遭うケースは軽減できるはずだ。
専用端末では、必ず「ファイルの拡張子を表示する」設定にしておくべきだ。また、感染源として悪用されるケースが多いスクリプト系のファイルタイプ(「.js」「.vba」「.vbs」「.pif」「.wsh」など)は、全てメモ帳アプリに関連付け、実行させないということも対策になり得る。
さらに、Office文書のマクロを実行させないために、Officeをインストールせず最低限のアプリしか入れないということも重要だ。ただし、WebブラウザとOSに関しては常に最新にアップデートをしておく必要がある。
DreamBotやURSNIF(Gozi)は、現在も「請求書」や「ご確認」といった件名で、添付ファイル付きの日本語メールをばらまきまくっている。専用端末でなくともインターネットバンキングを行う可能性があるのであれば、事前に感染チェックサイト(日本サイバー犯罪対策センター「DreamBot・Gozi感染チェックサイト」)を利用してみるのも1つの手だ。また、日々の情報収集であれば、内閣サイバーセキュリティセンター(NISC)のTwitterはお勧めだ。インターネットバンキングを狙うメールが増えるとタイムリーな注意喚起が行われている。
Copyright © ITmedia, Inc. All Rights Reserved.