ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」(5) ネットバンキングの不正送金の実態、ご存じですか?

不正送金(金融マルウェア)の日本上陸

2011年に日本のメガバンクを攻撃対象とした「金融マルウェアを使った不正送金」が発生しました。米国や欧州で使われていた金融マルウェアを、日本向けにカスタマイズしたものです。ただ、金融マルウェアによる不正送金は2011年に「増加した」のであって、それ以前より発生していました。

2012年10月頃には、ユーザーがネットバンキングのWebサイトにアクセスしたタイミングで「偽のポップアップ画面」を表示し、送金に必要な認証情報(乱数表)をすべて入力させる攻撃手法が発生しました。

この攻撃が厄介なのは、ユーザーの多くがブラウザに登録している「お気に入り」などから銀行の正規サイトにアクセスしている点です。正規サイトの上に偽のポップアップ画面が表示されるため、「銀行が表示しているポップアップ」と認識してしまう人も少なくなかったと思います。

偽のポップアップ画面は有名なウイルス対策メーカーを騙り、ウイルス対策ソフトのダウンロードや、銀行が推奨する金融マルウェア対策ソフトのインストールを促すものなどがありました。その偽画面には銀行のロゴも掲載されており、ユーザーは正規サイトとの見分けるのはなかなか難しい状況でした。

この頃は、大手銀行を中心とした攻撃にとどまっており、中小の金融機関は攻撃ターゲットになりづらいものと考えられていました。

攻撃対象の拡大

しかし、「偽のポップアップ画面」表示による大手銀行への不正送金が始まってから数カ月が経過すると、ジャパンネット銀行を含むネット専業銀行への攻撃へと広がり始めたのです。それまでは私も含め、どこか「対岸の火事だ」と思っていた銀行の担当者は焦りを感じていたはずです。

これには理由があるのです。金融マルウェア対策に関する調査を決して怠っていたわけではありません。実はこれらの攻撃は、従来の銀行が行っていた「セキュリティ対策」と「守る対象・観点」が異なるのです。

金融マルウェア登場前……ユーザー情報を含めた「銀行側のシステム」をどう守るか
金融マルウェア登場後……マルウェアに感染した「ユーザーのパソコンと資産」をどう保護するか

システム構成、OSバージョンを熟知した銀行側のシステムとは異なり、利用環境が異なるユーザーのパソコンを保護する観点は、検討していなかったのです。

海外銀行の視察

時を同じくして、不正送金の被害が拡大していたメガバンクの担当者から「イギリスの銀行を視察しないか」という打診があり、「不正送金の攻撃が本格化する」と考えていた私は視察に同行しました。ちなみに、イギリスは不正送金被害がすでに多く発生しており、その分先進的な対策も進んでいたのです。

2013年3月にロンドンを中心として複数の大手銀行を視察し、銀行のセキュリティ担当者から不正送金被害や対策の実態をヒアリングしました。ここで目の当たりにしたのは、不正送金被害の拡大の早さでした。1カ月前は数十万円～数百万円の被害であったのが、その1カ月後には数十億円規模の不正送金被害が発生したという事実でした。

ネットでなんでも情報が手に入る時代と思いがちですが、銀行の担当者からナマで聞くさまざまな現実は、かなりのリアリティを持って私の記憶に残りました。

1度標的にされると、その銀行のセキュリティ対策が向上するまで攻撃は止まらない

銀行のセキュリティ対策が向上した場合、攻撃ターゲットがほかの脆弱な銀行に変わる。

既存のウイルス対策ソフトだけでは防御しきれない

大手ウイルス対策メーカーと組んだ銀行でも、不正送金被害が急拡大していた。

ユーザーのパソコンに金融マルウェア対策ソフトをインストールしてもらうのは難しい

対策の効果が大きいマルウェア対策ソフトですが、「なかなかインストールしてもらえない」「インストールする人は元々セキュリティ意識が高く、そもそも金融マルウェアに感染しない(=本来の対象者である脆弱な環境のユーザーがインストールしていない)」。

攻撃手口は金融マルウェアだけでなく、フィッシングサイトなどさまざま

つまり、対策は一つ……ではなく、システム側の対応やモニタリング、注意喚起など、多層化する必要があるわけです。

ここで得た証言は、当社の対策の考え方に活かしました。

不正送金の被害拡大(攻撃手口の多様化、攻撃の執拗化)

実際、イギリスのヒアリングで得た「攻撃手法の多様化」は2015年に日本でも散見される状況になり、「金融マルウェアによる不正送金」に加えて「フィッシング」「スマホへSMSを送信するスミッシング(SMSフィッシング)」「電話で認証情報を聞き出すヴィッシング(ボイスフィッシング)」などが確認されています。