不正ポップアップだけではない、銀行を悩ます近ごろのフィッシング4つの傾向

　10月末、日本の複数の金融機関を狙ったフィッシング攻撃が発生していることが確認され、新たな手口だとして話題になった。国内におけるこれまでのフィッシングの主な手口が偽サイトにユーザーを誘導してそこでアカウント情報を入力させるものだったのに対し、今回はユーザーが金融機関の正規サイトにログインした時にその上に重ねて偽の認証画面をポップアップ表示し、暗証番号や秘密の合い言葉などを入力させようとする手法だ。ユーザーのPCに感染したウイルスによるもので、オンラインバンキングをターゲットとする代表的なトロイの木馬「Zeus」を使用しているとみられている。

　フィッシング対策協議会の主催で12月14日に行われた「フィッシング対策セミナー2012」では、株式会社みずほ銀行参事役の谷合通宏氏が講演し、フィッシングの最近の傾向について同行の実例を紹介しながら解説した。みずほ銀行といえば、この不正ポップアップ画面の攻撃でターゲットになった金融機関の1つだ。しかし谷合氏によれば、不正ポップアップ画面に限らず、フィッシングの手口は巧妙化しているという。

　谷合氏は、みずほ銀行IT・システム企画部サイバーセキュリティチームの担当者だ。みずほ銀行では2011年に三菱重工やソニー、政府を狙ったサイバー攻撃が相次いで発生したことを踏まえ、こうしたサイバー攻撃に会社としてどう対応していくかを考えるワーキンググループを設置。CSIRT（Computer Security Incident Response Team）機能を設けるべきとの結論に達し、2012年10月同チームが発足。12月に日本シーサート協議会に加盟したばかりだ。

株式会社みずほ銀行参事役／IT・システム企画部サイバーセキュリティチームの谷合通宏氏

　谷合氏によると、フィッシングサイトの最近の事例からは4つの傾向が見られるという。

　まず1つ目として、フィッシングサイトの停止（テイクダウン）に時間を要するようになっているという。以前は発見から3時間程度で停止してもらえることもあったが、最近は数日かかることも頻繁に起きているとした。

　その理由は、米国カリフォルニアにサーバーのあるサイトが停止しづらい傾向にあるからと考えられるという。格安サービスのレンタルサーバーが乗っ取られているのか、あるいは攻撃者が意図的にそうしたサービスを契約しているのは不明だが、そういった格安事業者の場合は管理者になかなか連絡がつかないこともあり、金曜日にフィッシングサイトが見つかると、土・日は連絡がとれず、「やきもきしながら月曜日を迎える状況」だとした。

　次に2つ目として、銀行の確認作業を遅らせるタイプが出現してきているという。新たなフィッシングサイトが存在しているとの情報が入ると、まずはどういうサイトなのか見に行って確認するわけだが、銀行のイントラネットからアクセスすると、異なるサイトにリダイレクトされるのだ。例えば中国語のセキュリティソフトの販売サイトが表示されるため、うっかりするとフィッシングサイトではないと判断してしまうことになる。

　また、フィッシングサイトの動作を見るために適当なIDを入力してみても、1回入力したIDではエラーを返すなど、確認作業に手間のかかる単純ではないサイトが多く出てきているとした。

　3つ目は、フィッシングサイトにマルウェアを仕込み、感染を試みるパターンだ。典型的な例としては、銀行からの振込受付完了通知を装った偽メールでフィッシングサイトに誘導し、アクセスしてきたPCのJavaの脆弱性を突いてトロイの木馬に感染させる手法である。

　みずほ銀行を装ったフィッシングサイトで実際に使われたマルウェアを解析してみたが、ダウンローダーまでしか捕獲できなかったという。キーロガーなどさらに強力なマルウェアをダウンロードさせる計画だったと推測されるが、その前に偽サイトを閉鎖できたため、これに遭遇した顧客は少数であり、最終的な攻撃目的までは判明していないとしている。

　なお、この偽サイトに設置されていたオンラインバンキングのログインボタンなどは、みずほ銀行の正規のログインページへリンクされたものだった。すなわち、偽サイト経由ではあっても正規のオンラインバンキングにログインできてしまうことになる。仮に閉鎖に手間取っていたとすれば、トロイの木馬に感染したことに気付かないまま、みずほ銀行のオンラインバンキングを使い続けるといった被害が広がっていた可能性も考えられるだろう。

　この事例ではJavaの脆弱性が突かれたが、ほかにもトロイの木馬の感染口としてはFlashやAdobe Reader、Windowsなどの脆弱性が悪用されることもある。もちろん未知の脆弱性の場合はいかんともしがたいが、セキュリティ修正パッチをきちんと当てているPCでは、少なくともパッチ対処済みの古い脆弱性を突かれて感染する恐れはなくなるはずだ。ただし現実問題として、オンラインバンキングを利用しているエンドユーザーでPCのソフトを常に最新状態に保っているか人が果たしてどれだけの割合いるかという意味では、銀行側にも悩ましい面もあるようだ。

　最後に、誘導先をトップページ経由にする手口に変わりつつあるというが4つ目の傾向だ。メールでフィッシングサイトへ誘導するのは同じだが、オンラインバンキングの偽ログイン画面に直接リンクするのではなく、いったん偽の銀行トップページへアクセスさせ、そこからさらに偽ログインページへ移動させるものだ。

　谷合氏によれば、みずほ銀行のオンラインバンキングユーザーは普段、まずはトップページにアクセスしてからログインページへ行く人が多いのだという。同じような手順を踏ませるこのような手法の方がだまされやすいのではないかとみている。

　なお、偽トップページ自体は現段階ではあまり完成度は高くなく、みずほ銀行のトップページをそのまま1枚の画像ファイル化して貼り付け、どこをクリックしても偽ログインページにリンクされるものだった。偽ログインページでは、会員番号を入力してクリックすると、さらに暗証番号、第1暗証番号、第2暗証番号、ログインパスワード、合い言葉という認証情報を入力するページに遷移。そこで認証情報を入力すると正規のサイトにリダイレクトされる。このパターンでも、最終的には正規サイト上でオンラインバンキングの通常の取り引きが可能になるため、うっかりしていると途中で実はフィッシングサイトを経由して認証情報を窃取されたことが気が付かない可能性もあるわけだ。