ワンタイムパスワードまで盗むフィッシングの手口、複数国で発生

RSAセキュリティの水村明博氏（マーケティング統括本部シニアマーケティングマネジャー）

　RSAセキュリティ株式会社は28日、フィッシング対策センターであるRSA Anti-Fraud Command Center（AFCC）の分析データなどをもとに、オンライン詐欺の最新動向を紹介する月例の記者説明会を開催した。海外の金融機関などでユーザーの本人認証のために採用されているという、携帯電話のSMS（ショートメッセージサービス）を利用したワンタイムパスワード（OTP）を破る手口が、今年に入って確認されていることを報告した。

　OTPを利用した本人認証は、ユーザーがオンラインバンキングへログインし、送金手続きなどをすると、ユーザーの携帯電話あてにSMSでワンタイムパスワードが送られてくるというもの。ユーザーはそのOTPをオンラインバンキングで入力することで、手続きが完了する。

　今回報告された手口では、このOTPまでもフィッシングサイトに入力させてしまおうというものだ。

　RSAセキュリティの水村明博氏（マーケティング統括本部シニアマーケティングマネジャー）によると、オンラインバンキングのユーザーをターゲットとしてスパムメールを送信し、偽のバンキングサイトに誘導するまでは一般的なフィッシングと同様だ。しかし、ユーザーが偽サイトにログインすると、画面には「しばらくお待ちください」といった趣旨のページが“ゆっくり”表示され、時間稼ぎを行うという。

　詐欺師はその間、偽サイトに入力されたアカウント情報を使って正規サイトにログインし、そのユーザーの口座から別の口座へ送金処理を行う。すると、ユーザーの元には正規サイトからSMSでOTPが送信されるため、偽サイトでは、時間稼ぎページに続いてOTPの入力を求めるページを表示する。ここにOTPを入力してしまうと、それが詐欺師に渡り、詐欺師による送金処理が完了してしまうという流れだ。

　OTPを窃取する方法としては、偽サイト上で入力させる方法のほか、OTPが届いたタイミングを見計らって電話をかけ、銀行員を装って聞き出すパターンもあるという。

正規のワンタイムパスワード認証の流れ	ワンタイムパスワードを盗む手口の流れ

　なお、この手口では人間（詐欺師）によるリアルタイムな処理を介在するため、RSAセキュリティでは、中間者（MITM：Man-In-The-Middle）攻撃の1つと位置付けている。

　RSAセキュリティではこの手口を2010年に入ってから検知しており、これまでに南アフリカ、英国、オランダ、ポーランドで確認されているという。異なる地域の異なる銀行が狙われているが、それらの銀行の認証方法が全く同じであることから、同様の攻撃手口が応用されているものとみている。

　日本についてだが、水村氏によれば、SMSを利用したOTPのソリューションはいくつかあるものの、金融機関での導入事例については聞いたことがないという。今回の手口も、日本ではまだ確認されていない模様だ。

　ただし、日本の一部金融機関で導入しているトークンによるOTPも、似たような手口で窃取される可能性があることは、ユーザーは留意しておく必要がある。

　一方、金融機関側においても、OTPの導入は本人認証の強化という意味で必要な対策だが、フィッシング対策は認証強化だけでは不十分だと、水村氏は指摘する。

　RSAセキュリティのフィッシング対策ソリューションでは、ログイン時やトランザクション時の認証を強化する「RSA Adaptive Authentication for Web」のほか、オンラインバンキングにアクセスしている端末やIPアドレス、過去のユーザーの行動パターンなどのデータから、不正アクセスの可能性を判定する「RSA Transaction Monitoring」、AFCCがオンライン詐欺を24時間365日監視し、フィッシングサイトの閉鎖なども行う「RSA FraudAction」というサービスをラインナップしている。

　水村氏は、「OTPがダメだと言っているのではない。フィッシングには、認証強化だけでなく、階層的に対策していく必要がある」と訴えた。

RSAセキュリティのフィッシング対策ソリューション	RSA Anti-Fraud Command Centerが検知したフィッシング数の推移

　なお、AFCCが6月に検知したフィッシング攻撃は1万3855件で、5月から16％減少した。4月の1万8080件から2カ月連続して減少している。犯罪組織のRock Phish団がフィッシング攻撃活動をほとんど停止し、その活動領域をマルウェア感染に移しているためだという。しかし水村氏は、1万3855件という数字も少ないとは言えず、また、Rock Phish団の矛先もマルウェアであることから、決して安全な状況にあるわけではないとして注意を呼び掛けた。