もう他人ごとではない！あなたの銀行預金がネット経由で盗まれる日は近い？

2019年12月27日

※この記事はセキュリティ製品のPRを含みます

金融機関とネットバンキング利用者がいま、サイバー攻撃の標的にされていることをご存知ですか？

昨年から、フィッシング詐欺が大量に発生し、スマホに怪しいSMSメッセージが届いている人は多いと思います。今年7月にはスマホ決済のシステムの不備を突いて、個人になりすまし何十万円も商品を購入される事件も発生しました。ここ2年ほどネット犯罪グループは、様々なネットサービスのアカウントやクレジットカード情報を盗んで稼いでいました。

しかし、2019年9月、犯罪グループの一部はついに守りが最も強固なオンラインバンキング口座を攻略するのに成功したようなのです。

9月以降に不正送金被害が急増

警察庁の発表によると、2019年9月に不正送金被害が突然急増し、前月の件数の4.2倍近くに。被害件数と金額は9月に441件、4億800万円、10月に397件、5億1900万円、11月は573件、7億7600万円にも上っています。

現在のところ、決定的な対策が無いということで、銀行も警察も対処に追われている状況とのこと。
そして、12月に入ってからは、地方銀行のフィッシング詐欺サイトも多数確認されています。

スマホが原因？毎日絶え間なく届くフィッシング詐欺のSMSメッセージ

従来の手口と異なる点の一つが、SMS（ショートメッセージ）の利用が大幅に増加していることです。この偽のSMSメッセージを行っているのは、一般ユーザーのスマホ（Android）にインストールされた偽アプリ。皆さんは、佐川急便や日本郵便の不在通知を装ったフィッシング詐欺が発生しているのをご存知でしょうか？実はあのフィッシング詐欺でインストールされるAndroid用偽アプリが、大量なフィッシング詐欺メールの配信元になっている可能性があるのです。

トレンドマイクロから2018年12月に報告された、Android 端末向け不正アプリ「XLOADER（エックスローダ）」および「FAKESPY（フェイクスパイ）」と呼ばれるマルウェアがそれにあたります。

現在は、日本郵便や佐川急便を騙る偽SMS、偽サイトという形で、スマホユーザーの多くの人が目にすることがあると思います。犯罪グループは、この偽アプリは入ったスマホを支配下に置いて、遠隔操作で一斉に偽SMSメッセージを送信しています。この不正アプリは、インストール時にAndroidスマホ上でほぼ何でもできるような沢山の権限を要求します。

端末のステータスとIDの読み取り

電話番号発信

発信先の変更

テキストメッセージ（MMS）の受信

テキストメッセージ（SMS）の受信

テキストメッセージ（SMSまたはMMS）の読み取り

テキストメッセージ（SMSまたはMMS）の編集

SMSメッセージの送信

録音

連絡先の読み取り

SDカードのコンテンツの読み取り

SDカードのコンテンツの変更または削除

画面ロックの無効化

この端末上のアカウントの検索

ネットワークへのフルアクセス

ネットワーク接続の表示

ネットワーク接続の変更

Wi-Fiからの接続と切断

Wi-Fi接続の表示

起動時の実行

実行中のアプリの取得

他のアプリの終了

他のアプリの上に重ねて表示

端末のスリープを無効にする

音声設定の変更

ステータスバーの拡大/縮小

出典：安心相談窓口だより「宅配便業者をかたる偽ショートメッセージに関する相談が急増中」
https://www.ipa.go.jp/security/anshin/mgdayori20180808.html

騙されて偽アプリをインストールした利用者は大変です。サイバー攻撃の踏み台に利用されるだけでなく、所有者に見えないようにバックグラウンドで大量のSMS配信するため、1か月に何万円もの通信費用が請求されることもあるとのこと。通信事業者の顧客サポートには、このような知らない間に行われた大量の通信による料金トラブルが多数報告されているといいます。

ワンタイムパスワードの盗難とリアルタイムな送金処理

もう一つの特徴が、ワンタイムパスワードの盗難です。ワンタイムパスワード方式は多くの銀行で送金の安全性を高めるために採用されています。利用者の手元にあるパスワードカードを使って、本人確認を行うもので過去に送金実績の無い口座宛ての送金や口座登録情報の変更の際に入力を求められます。

不正送金の手口をわかりやすくモデル化すると以下のような流れになります。

攻撃者がユーザーに向け金融機関を装った偽メール・SMSを送信
ユーザーが受信したメッセージ上のURLをクリック
ユーザーに攻撃者が用意した精巧な偽ログイン画面を表示
ユーザーが偽ログイン画面にID、パスワードなどの認証情報を入力
4.で入力した認証情報が攻撃者に送られ、攻撃者は詐取した認証情報を利用し、正規の金融機関サイトに不正ログイン後、不正送金準備を開始
金融機関サイトは本人確認のため、ワンタイムパスワードを攻撃者に要求
攻撃者はワンタイムパスワード詐取のため、ユーザーに偽のワンタイムパスワード入力画面を表示
ユーザーは手元にあるパスワードカードが生成したワンタイムパスワードを入力
攻撃者は詐取したワンタイムパスワードで、有効時間の間に素早く送金操作を完了

ワンタイムパスワードを攻略する手口の大まかな流れ

一見、従来の銀行フィッシング詐欺と一見似たような手口に見えますが、フィッシング詐欺サイトがSSL暗号化されており、本物と非常によく似たドメイン名を使用するなど、利用者が目にしても、違和感を感じにくい巧妙な作り込みがなされています。ワンタイムパスワードを入力してしまうと、即座に銀行預金を失うことになりかねなません。

マルウェア、バンキングトロージャンの存在

ただ実際に攻撃者がワンタイムパスワードを入手しても、それを短い有効時間内に使用するのは非常に困難なはずです。利用者がオンラインバンキングにアクセスするタイミングを知る方法は？銀行口座の送金上限金額はどうやって変更するのか？など様々なハードルがあります。銀行のシステム側でいつもと異なる不審な機器からのアクセスを検知することもあります。これらは人の手作業のみで行っているとは考え難いと思います。

これには、作業を円滑に行うマルウェア（バンキングトロージャン）が使われていると見られています。過去には、セキュリティベンダーによって利用者の認証情報を盗むマルウェアがいくつも発見されています。あらかじめ、標的のパソコンにマルウェアを侵入させておき、利用者の銀行サイトへのアクセスを監視したり、認証情報を事前に盗み出したり、不正アクセスを隠匿する仕掛けを持ったものもあるのです。事実、下準備を行うためか、何度もワンタイムパスワードを入力させるような手口も観測されている模様です。

複合化、複雑化した手口、どうやって防ぐのが良いのか？

ここまでの状況を整理すると、スマホも偽アプリで偽SMS送信、偽銀行サイトの巧妙な作り込み、バンキングトロージャンなどのマルウェアの活用と、これまで別々なセキュリティ脅威として報告されてきたものが組み合わされ、標的攻略のために巧みに使われている様子が見えてきます。

フィッシング詐欺は、もはや目に見える偽のID、パスワードの入力画面だけではなくなって、ネット犯罪技術の総力戦を仕掛けてきていると考えられます。そして、手口は毎回少しずつ変化しているため、ここまで紹介した内容も既に古くなっているかも知れません。常により成功率の高い方法へとアップデートされている状況と言えます。

では、オンラインバンキングの利用者が安全を確保するために気を付けるポイントがどこにあるのでしょうか？やはりここは、セキュリティの基本を忠実に実行し、犯罪手口の入り込む隙間を減らすのが賢明でしょう。

リンクURLの埋め込まれた、SMSやメールは一切信用しない。

口座へのアクセスは、銀行の正規アプリや、正規の銀行サイトを直接立ち上げて行う。

オンラインバンキングのID、パスワードは、絶対に他のアカウントと共用しない

銀行の用意する2要素認証や、銀行が提供している専用のセキュリティソフトがあれば必ず使用する。

ウイルス対策ソフトで検知できないマルウェアがあるので、アップデートやウイルススキャンの頻度を上げる

ネット詐欺専用セキュリティソフトを追加で導入し、検知力を上げる

脆弱性を狙った攻撃を防ぐために、パソコンやスマホのOSのアップデートが出たら即座に適用する

それに加え、

オンラインバンキングによる振込上限額をできるだけ低く設定しておく

銀行口座をできるだけ頻繁に確認し異常が無いか確認をしておく

などの、利用習慣の面でも対策を取った方が良いと思われます。