目次
- 1 第一位:不正送金
- 1.1 2015年の被害の特徴は法人口座被害の増加。
- 1.2 主な手口
- 1.3 VAWTRAKの手口
- 1.4 WERDLODの手口
- 1.4.0.0.1 (*1) フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。なお、フィッシングはphishingという綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。 (総務省 国民のための情報セキュリティサイトから引用、http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/security01/05.html)
- 1.4.0.0.2 (*2)MITB(マン・イン・ザ・ブラウザー)攻撃とは MITB攻撃とは、悪意の攻撃者がユーザーのPCにトロイの木馬などのマルウェアを侵入させて通信を監視し、オンラインバンクにログインされた後の通信を乗っ取り、ユーザーの預金を盗み取る攻撃のこと。 MITBは「Man in the Browser」の略。(日立ソリューションズさんの除法セキュリティブログから引用) MITBにおいて想定される脅威の例はFFRI社に詳細に記載されているのでそちらを参照されたい(http://www.ffri.jp/special/mitb_1.htm)
- 1.4.0.0.3 (*3)EV SSL証明書(Extended Validation SSL certificate)とは、Webサイトの認証と通信の暗号化に用いられるSSL証明書のうち、身元の確認などに一定の基準を設け、従来よりも厳格な審査を経て発行されたもの。(IT用語辞典 e-Wordsから引用)
第一位:不正送金
2016年2月15日情報処理推進機構(IPA)は今年の「情報セキュリティ10大脅威 2016」を発表した。
第1位は相変わらず「インターネットバンキングやクレジットカード情報の不正利用」最近は大手銀行の守りが固くなったのか地域の信用金庫や信用組合等に対するウイルスやフィッシング詐欺が増加しているようだ。
クレジットカードでネットショップは当たり前の時代に
これに対して2016年3月3日に警察庁から平成27年(2015年)中のインターネットバンキング不正送金事犯の発生状況について発表があった。警察庁ーインターネットバンキング不正送金事犯被害の実態と防止策
2014年にいったん収まったと思われた不正送金だが、どうもそうではないらしい。
- 件数では381件減少し1,495件だったが、
- 実被害額は約2億円増加して26.5億円で過去最高
2015年の被害の特徴は法人口座被害の増加。
特に信用金庫の法人口座被害が急増した。被害口座名義人の多くがセキュリティ対策を未実施だったという。送金先口座は中国人名義のものが約6割、日本人が約3割、ということらしい。 ここでも「かの国」ががんばっておられるようだ。
被害金融機関223行の内訳は以下の通りで信用金庫と農協はやはり要注意だ。
- 都市銀行・ネット専業銀行・信託銀行・その他の銀行が16行
- 地方銀行が53行
- 信用金庫が98金庫
- 信用組合が17組合
- 農業協同組合が35組合
- 労働金庫が4金庫
主な手口
不正送金に関する典型的な手口は大きく分けてフィッシング詐欺系(*1) とMITB(*2)がある。
夫々に注釈をつけたがいまいちわかりにくいのでざっくり説明してしまうと、この2つの手口の違いは以下の通りだ。
- フィッシング詐欺は銀行のホームページHPに似せた画面を出して入力させ認証情報などを窃取する。
- MITBは本物サイトのホームページを出すが、途中の経路で盗聴することにより送金額や送金先を改ざんしてしまう。
(株式会社FFRI社のWebサイトから引用)
こうした不正送金に関係するマルウェアには、古くは(といっても2007年頃)「ZeuS」「SpyEye」が有名であったが日本の言語の問題や銀行のシステムの個別独自性がバリアとなって海外ほど多くの被害は出ていなかったように記憶している。 それが次第に進化して日本のユーザを狙いうちしているとされる「VAWTRAK」「WERDLOD」などが確認されており、その状況はトレンドマイクロさんのグラフを見ると一目瞭然である。
日本で猛威を振るう「VAWTRAK」(トレンドマイクロ社)
VAWTRAKの手口
2014年頃から徐々に露出度が上がってきたフィッシュング詐欺を行うためのマルウエアだ。
具体的には不正サイトの指令サーバ(一般にC&CサーバーとかC2サーバ等と呼ばれる。 C&CはCommand&Controlの略)の指令により正規のサイトにそっくりのニセの画面を表示させ、ワンタイムパスワードなど認証情報の入力を促し、それを盗み取って不正送金を行う。
WERDLODの手口
2015年から急増したMITB(MITM:Man In The Middleとも呼ばれる)型の攻撃をする。
具体的にはサービスや物販の請求書を偽装したメールにより添付されたRTF形式のファイルダブルクリックすると感染してしまう。 RTF形式というのは文書を保存するためのファイル形式の一つだが、多くのアプリケーションがサポートしているために使用したのではないだろうか? 例えば ”invoice.rtf”とか”XX通販から請求書.rtf”等拡張子がrtfになっている場合には注意したほうが良い。 一般ユーザがこのファイル形式を選択する理由はそれほど多くないはずだ。
さてMITB攻撃を成功させるためには最低2つの環境構築をする必要がある。
- 攻撃者が用意した不正なプロキシー設定ファイル(proxy.pacと呼ばれインターネットの経路が記述されている)を参照するようレジストリを書き換える。
- 通常暗号化されているネットバンキングの情報を盗聴するために通信の身分証明書であるルート証明書をインストールする。
通常ルート証明書をインストールする場合には必ずユーザ確認をしてくれる。 しかしこのマルウエアはその確認画面が出た瞬間にOK(はい)を送信するように仕組まれているそうだ。 いかにトレンドマイクロ社のホームページからその画面を引用したが、勝手に「はい」を押されてしまうので見てもどうしようもないですね、笑。
ルート証明書リストへの追加に関する警告ダイアログをスルーする画面(トレンドマイクロのブログより)
これでMITB(MITM)の環境構築が終了。 こうなったら何をやられてもおかしくないしワンタイムパスワード等多要素認証もその効果は極めて限定的になる。 しかもこの時点で一般ユーザーが盗聴されていることに気付くことはまずないだろう。
最近は発行手続きやその手順を追跡できるEV SSL証明書の導入を推進しているようでこの場合アドレスバーの色によって判別できるようになるそうだ。
これまで2つの攻撃の手口をおさらいでわかるように、決して他人ごとではなく誰もがいつやられてもおかしくない状況なのだ。
もし貴方が「私は銀行から送られてきたワンタイムパスワードを使っているから安心」等と思いの方は考え方を改めることをお勧めする。
今後もインターネットバンキングは普及していくだろうし、日本を狙い撃ちするマルウエアは儲かる限り擬態を繰り返し進化しながらますます拡大することが予想される。 去年に引き続き第一位となった「インターネットバンキングやクレジットカード情報の不正利用」には今後も目は話せない。
次項では第二位となった「標的型攻撃」についておさらいしてみたい。
(*1) フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。なお、フィッシングはphishingという綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。
(総務省 国民のための情報セキュリティサイトから引用、http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/security01/05.html)
(*2)MITB(マン・イン・ザ・ブラウザー)攻撃とは MITB攻撃とは、悪意の攻撃者がユーザーのPCにトロイの木馬などのマルウェアを侵入させて通信を監視し、オンラインバンクにログインされた後の通信を乗っ取り、ユーザーの預金を盗み取る攻撃のこと。 MITBは「Man in the Browser」の略。(日立ソリューションズさんの除法セキュリティブログから引用)
MITBにおいて想定される脅威の例はFFRI社に詳細に記載されているのでそちらを参照されたい(http://www.ffri.jp/special/mitb_1.htm)
(*3)EV SSL証明書(Extended Validation SSL certificate)とは、Webサイトの認証と通信の暗号化に用いられるSSL証明書のうち、身元の確認などに一定の基準を設け、従来よりも厳格な審査を経て発行されたもの。(IT用語辞典 e-Wordsから引用)
2016年4月1日
