出典:浅川 直輝=日経コンピュータ
編集:ロンちゃん
![netbank1[1]](https://livedoor.blogimg.jp/longestyard12061-ronchan62/imgs/b/e/beaffa5c-s.jpg)
ネットを使った、お金が絡む操作を乗っ取られると、一瞬にして口座残高がゼロになる可能性がある。
SSL通信、乱数表、ワンタイムパスワード
…オンラインバンキングを支えるセキュリティ技術も、ウィルスにパソコンが感染していると意外なほど脆弱!!
世界で頻発するオンラインバンキング詐欺の実態と、金融機関の対抗策を紹介します。(*^^)v
2012年10月から11月にかけ、ネットバンキング利用者のブラウザーに
偽のポップアップ画面を表示させて、乱数表などの認証情報をだまし取り、不正送金に利用する事件が国内で多発>^_^<
これは「Webインジェクション」と呼ばれる手口を応用したもので、利用者のパソコンに感染したウイルスが、
銀行のサイトからブラウザーに送られたHTML(Web作成基本プログラミング用語であり、C言語のようなプログラミングとは違い、文章の中に記述することでさまざまな機能を記述設定)を改ざんし、不正な記述を挿入したのだ。
ブラウザーはSSL通信下でも、OSのAPIやブラウザー自身のプラグイン機能を通じ、受信したHTMLデータを他のプロセスとやりとりしている。
ということは、このプロセスをウイルスが横取り(フック)すれば、通信データを容易に改ざんできてしまう。
Internet Explorerにおける『Browser Helper Object』などプラグイン機能を実現するインタフェース、ブラウザー専用のDLL、WindowsのAPIなどを乗っ取ることで、容易に通信を改ざんできる
米グーグル「Chrome」のセキュリティを担当するイアン・フェッティ シニアプロダクトマネージャーは、「パソコンにウイルスが侵入した後では、Webブラウザーでできる防護策はほとんどない」と語る。
ワンタイムパスワードなどの追加認証を無効化させるMan in the browser攻撃の実態
2012年、欧州を中心に全世界で最大2000億円もの被害を出したとされる金融詐欺事件「Operation High Roller」で使われた、ワンタイムパスワードを無効化する手口
利用者はログインIDやパスワードを使い、ネットバンキングサイトに正規にログインする。
その際、ウイルスがWebインジェクション攻撃でHMTLを改ざんし、本来は送金操作の直前に入力するはずのワンタイムパスワードの入力フォームを、この段階で表示させる。
利用者が画面の指示に従ってワンタイムパスワードを入力すると、ウイルスはWebインジェクションにより、ブラウザーに「しばらくお待ち下さい」といった偽画面を表示させ、時間を稼ぐ。
その間にウイルスはブラウザーに、不正な口座番号と送金額、不正取得したワンタイムパスワードを含む偽情報を、銀行サイトに順次送らせる。
利用者からは何も見えないまま、銀行サイトのサーバーから見れば正規のプロセスで送金処理が進む。
ワンタイムパスワードの有効時間内に口座の不正操作を終わらせることで、あなたの口座から、全てのお金がなくなる事も可能性としてありますよぉ~。
ロンちゃんは一回の引き出し額と、月の引き出し額にリミットを設けて、被害にあっても最小限に出来るようにしています。
Operation High Rollerでは、不正送金の事実を利用者に気づかれないよう、犯罪者集団は周到にさらなる手を打っていた。
送金が完了した後に利用者に届く送金処理の内容を知らせる電子メールを、このウイルスは自動で削除していた。
このため、利用者は不正な送金が行われたことに気がつかなかった。
セキュリティの世界では、「○○技術があるから安全」という信頼は、いつか裏切られる運命にある。
オンラインバンキング詐欺の世界では、セキュリティを破る技術が金銭的利益に直結することから、犯罪者集団はあらゆる労力を惜しまず、
セキュリティ技術を解析し、それを破る手段を用意する。
もはや、利用者側の対策
――OSの定期的アップデートやセキュリティソフトの導入、不審なURLへのリンクをクリックしない
。。。といった努力だけでは、オンラインバンキング詐欺は防ぎ切れない。
根本的な対策とはいえないが、被害を最小限にする手段として有力なのが、詐欺を「事後的に検知する」仕組みを金融機関が用意することだ。
Operation High Rollerの被害状況を分析したマカフィーによれば、この回避不能な金融詐欺に見舞われた金融機関の中には、他と比べて実害が極めて少なかった銀行もあった。
詐欺とおぼしき取引を事後的に検出し、その取引を取り消すことで、被害を最小限に食い止めていたためという。
この銀行は、日々発生する膨大な取引データから、「特定地域の海外口座への送金が集中している」といった不自然な傾向を抽出し、詐欺と疑われる取引を検出していたという。
他の銀行との取引を事後的に取り消せるリミットは、一般に1~2日。
犯人組織が送金先口座からすぐにお金を引き出す可能性もあり、解析は時間との勝負だ!
こうした、いわゆるビッグデータを解析する力量があるかないかが、オンラインバンキング詐欺による被害の大小を決定づけることになる。
「ビッグデータ解析による事後対策」という発想は、オンラインバンキング詐欺対策以外にも応用できる。
例えば、「セキュリティ情報イベント管理(SIEM)」と呼ばれるセキュリティ製品。
ウイルス対策ソフトでは検知できない新種のウイルスやゼロデイ攻撃から企業システムを守る手段として、注目を集めている。
企業内ネットワーク上を流れる膨大なデータを収集、解析し、海外サーバーとの不自然なデータ通信など、サイバー攻撃の痕跡を見つけ出す。
ウイルスの侵入を防ぐ対策だけでなく、ウイルスの侵入を前提にその行動の痕跡を見つけ出す、事後的なセキュリティ対策といえる。
サイバー空間におけるセキュリティ技術と犯罪者集団のいたちごっこは終らない。
現状のセキュリティ技術を「信用しない」ことを前提に事後の対策を打っておくことが、被害を最小源に防ぐのに有効である。
コメント