ニュース

ネットバンクであっさり目のログイン画面は“不正送金ウイルス”を疑え?

日本狙い打ちで被害急増、原因はユーザーの理解不足

 インターネットバンキングの“不正送金ウイルス”による被害が日本で急増しているとして、株式会社ラックと株式会社セキュアブレインが14日、注意喚起を出した。金融機関側ではすでに対策を取り入れている一方で、ユーザー側の理解不足や対策不備が被害発生の原因になっていると指摘。ユーザー自身が危険を正しく理解し、自己防衛意識を持って自分のPCの必要最低限の用心をすることが重要だという。

 同日開催された記者説明会には、ラック取締役兼CTOの西本逸郎氏、同じくラックのコンサルタントである三宅康夫氏、セキュアブレイン取締役兼CTOの星澤裕二氏、Doctor WebのCEOであるボリス・シャロフ氏が出席。不正送金の手口や技術、被害状況、ユーザーの心構えなどを説明した。

株式会社ラックの西本逸郎氏
株式会社ラックの三宅康夫氏
株式会社セキュアブレインの星澤裕二氏
Doctor Webのボリス・シャロフ氏

2013年の不正送金被害は14億円超え、手口はフィッシングからマルウェアへ

 日本におけるインターネットバンキングの不正送金被害が急増し出したのは2013年6月からで、同年1年間の被害は1315件/約14億円に上り、過去最悪を記録。ところが2014年に入ってからさらに拡大し、1~2月の2カ月だけで被害額はすでに6億円に上ると伝えられている。

 2013年に被害のあった銀行は、ゆうちょ、みずほ、三菱東京UFJ、楽天、三井住友、りそな、シティバンク、住信SBIネット、セブン、新生、ジャパンネット、イオン、八十二、北洋、十六、南都、埼玉りそな、スルガ、大垣共立、千葉、第三、西日本シティ、もみじ、常陽、肥後、横浜、福岡、中国、武蔵野、山形、筑波のほか、地銀が1行。

 インターネットバンキングの不正送金の手口といえば日本ではこれまで、偽サイトへ誘導して認証情報を入力させる“フィッシング”だったが、最近では不正送金ウイルスへと移行している。警察庁によると、2011年3月から2013年11月までの不正送金の手口の内訳でフィッシングは7.7%にとどまり、マルウェア(不正送金ウイルス)によるものが92.3%を占めている。

警察庁がまとめた国内の被害状況
不正送金の手口

 不正送金ウイルスによる手口は、ユーザーのPCに「Zeus(Zbot)」や「SpyEye」といったマルウェアを感染させ、ユーザーが本物のインターネットバンキングのサイトを訪問した際に、不正なログイン画面を表示して認証情報を窃取したり、送金先の口座や金額を裏で書き替えるというものだ。

不正送金に至る流れ
不正送金ウイルスの難しさ

 セキュアブレインが国内のインターネットバンキングユーザー約250万人に提供しているフィッシング・不正送金対策ソフト「PhishWall」による検知数を見ても、不正送金ウイルスのは2013年後半から増加している。2013年1月の時点では月間322件だったのが、7月には月間3335件へと急増。さらに11月には月間5322件という過去最悪を記録した。2014年3月末までの15カ月間で、約3万9000台のPCが不正送金ウイルスに感染したという。

 あわせて、約4割のユーザーが2週間以上も不正送金ウイルスの感染を放置していることも分かった。PhishWallには不正ログイン画面の表示をブロックしてユーザーに警告する機能はあるが、感染した不正送金ウイルスの駆除はウイルス対策ソフトで行う必要があるのだという。PhishWallで攻撃を食い止めても、ユーザーが駆除を行っていないか、ウイルス対策ソフトでは完全に駆除できていない可能性がある。

PhishWallによる検知数
感染日数

 さらに不正送金ウイルスに感染したPCでは、銀行のお知らせページをスキップさせたり、注意喚起メッセージを削除するといったことも可能だ。また、ページの改ざんを検出して警告を出すためのJavaScriptを改ざんし、その警告機能を無効化するなど、銀行が実施するさまざまな不正送金対策を回避する手法も取り入れるなど、攻撃者といたちごっこの状況になっているという。

 星澤氏は、説明会で実際に不正送金ウイルスの動作をデモ。「spyeye.exe」や「stream.exe」を実行・感染させたPCで、ゆうちょ銀行のログイン画面に不正なポップアップ画面が挿入されたり、注意喚起画面がスキップされる様子を紹介した。また、テストツールを使って、三井住友銀行の注意喚起リンクを消したり、逆に偽サイトに誘導する偽注意喚起リンクを追加する様子や、送信される送金手続きデータの送金先や金額を裏で改ざんする様子を紹介した。

「spyeye.exe」に感染させた環境で本物のゆうちょ銀行のサイトへアクセス。ログイン画面に行こうとすると、本来は聞かれるはずのない秘密の質問と合い言葉、インターネット用暗証番号の入力画面がポップアップ表示された
テストツール「WebTaster」を用いて、みずほ銀行のサイトに偽の注意喚起リンク(1行目)を注入してみた例
三井住友銀行では、本来は不正送金ウイルスに関する注意喚起ページ(左)へのリンクがあるが、同じくテストツール「WebTaster」を使って、そのリンクを消してみた状態(右)

普段との違いやありえない画面入力に気付くことが重要

 不正送金ウイルスへ感染しているかどうかを判別する方法について西本氏は、ユーザーにとって判別するのは不可能ではないかとしながらも、注意喚起画面やメッセージが削除されることから、「やけにあっさりしたログイン画面が出てくると、やられている可能性」があるとした。

 これに限らず違いに気付くことが重要であり、そのためには通常時の正規画面をよく知っていることが前提となる。また、送金用パスワード(第2暗証番号)をログイン画面で入力させたり合い言葉の変更を促すこと、乱数表をすべて入力させるといったことは、正規のインターネットバンキングではありえないといったことを理解しておくことだとした。

 三宅氏は、個人ユーザーだけでなく法人ユーザーでもインターネットバンキングの不正送金ウイルスの被害が発生した銀行がすでに10行ほどあることを説明。通常、法人では送金操作と承認操作をそれぞれの別の担当者が行うが、中小企業では1人の担当者が1台のPCで行ってしまう場合も多いとし、いったん感染すると不正送金被害につながる危険性を指摘した。

 また、不正送金ウイルスの感染自体を防止するのがやはり重要であり、セキュリティの基本である脆弱性対策を確実に行う必要があるという。三宅氏によると、主な感染経路は改ざんされたサイトやメールであり、感染の際に悪用されるのはJavaとFlashの既知の脆弱性が圧倒的に多い。未知の脆弱性が悪用されることもあるが、少ないとしている。すなわち、パッチを適用せずに既知の脆弱性を放置しているユーザーが狙われるということであり、パッチを適用しておけば防止できるケースが多いというわけだ。

ウイルス/画面改ざんパターンは3タイプ、3つの犯罪グループが存在?

 さらに三宅氏は今回、不正送金ウイルス被害のあった前述の銀行について、ウイルスおよび画面改ざんのパターンから3タイプに分類されることを紹介。「遷移する画面ごとに改ざん内容を変える」「ログイン後の画面を、別の画面に改ざんする」というタイプA、「特定のサイトにデータを送信する」「どこのページでも同じコードが挿入され、入力される内容を搾取する」というタイプB、「ログイン時に改ざんされた画面が表示される」「遷移後に10桁の送金用パスワードを盗む画面が表示される」というタイプC――の3種類だ。

 該当する銀行の数としてはタイプBが多いが、メガバンクなど複数のタイプに含まれる銀行もある。三宅氏は、こうしたパターンを解析することで銀行側がよりスピーディーに不正送金対策を実施できるようになると説明するとともに、攻撃の背後にいる犯罪組織もこの3つのタイプにそれぞれ対応する3グループが存在するのではないかと推測した。

 なお、不正送金先の口座からの現金引き出しは国内で行われるため、国内にメンバーがいるのは間違いないとしながらも、犯罪組織の中枢がどの国に置かれているのかまでは、不正送金ウイルスのプログラムコードの解析からは分からないという。

 ロシアから来日したDoctor Webのシャロフ氏は今回、同国などにおけるインターネットバンキングへの最新サイバー攻撃事例を紹介したが、日本を狙った攻撃が増加してきた原因については、犯罪組織の手口が進化したためとみている。不正送金したお金を日本で現金で引き出す方法が確立されたことが大きいとし、銀行側の対策レベルやユーザーの保護レベル、警察の捜査能力などとはあまり関係ないとしている。

 一方、犯罪組織に関しては、Doctor Webが解析したボットネットの名称に、例えば「20140314」というような年・月・日の順の形式の命名パターンが見られる点を指摘。欧米とは異なることから、日本あるいは中国、韓国の組織である可能性を指摘した。

Doctor Webが解析したボットネットのリストの例

(永沢 茂)