二要素認証すら突破、巧妙化するネットバンキングを狙う脅威 - トレンドマイクロ2014年第3四半期セキュリティラウンドアップ

●自動で不正送金を行うネットバンキングを狙う脅威
トレンドマイクロは、「2014年第3四半期セキュリティラウンドアップ」を発表した。これは、2014年7月から9月までの日本国内および海外のセキュリティ動向を分析したものである。

今回の大きな脅威として、以下の3つを上げている。

■ 広がる情報盗難被害、規模や業種を問わず狙われる企業

■ フィッシング詐欺が急増、フィッシングサイト数は前四半期の5倍に

■ ネットバンキングを狙う脅威の悪質化・巧妙化が進む

○自動で不正送金を行うネットバンキングを狙う脅威

本稿では、この中にもあるネットバンキングについて、取り上げてみたい。ネットバンキングを狙った攻撃では、従来の手口ではユーザーになりすますものが一般的であった。具体的には、

正規のサイトにJavaScriptを使い、偽の認証画面を表示させる
ユーザーに入力を促し、乱数表の文字列や暗証番号を詐取する
攻撃者は盗んだ認証情報を使い、みずからインターネットバンキングサイトにアクセスし不正送金を行う

という手順となる(この手法はWebインジェクションと呼ばれる)。ここで重要なのは、攻撃者による人的な作業(不正送金作業)が必要になるという点である。しかし、2014年になってそれが一変する。まずは、図5を見ていただきたい。

これはトレンドマイクロが調査した、日本国内におけるオンライン銀行詐欺ツールの検出の状況を表したものである。まず、2014年第2四半期に急増していることがわかる。つまり、それだけ被害も拡大している。事実、警察庁の発表では、2014年上半期の不正送金被害は、約18億5200万円で前年同期比の9倍となっている。

●急増するオンライン銀行詐欺ツール：VAWTRAK
○急増するオンライン銀行詐欺ツール：VAWTRAK

もう1つ注目されるのは、VAWTRAKというオンライン銀行詐欺ツールが急増している点である。このツールの最大の特徴は、PCに感染し不正送金を自動的に行っている最中に、図4のような画面を表示することだ。これは、背後で不正送金を行っていることをユーザーから隠し、時間稼ぎを目的としているとされる。

さらに不正送金で、追加の認証情報(ワンタイムパスワードなど)が必要となった場合、ユーザーに偽の認証画面を表示させる。そして、その情報を詐取し、不正送金を終了する。国内ではワンタイムパスワードなどを使った二要素認証で安全性を高めている。しかし、それを突破する方法を攻撃者は取得しているのである。また、最新の手口では、ユーザーにログイン手続きに時間がかかっているような偽画面を表示しつつ、追加の認証と称して送金に必要なワンタイムパスワードを入力させる事例もあった。

当然のことながら、銀行や金融機関によっては、二要素認証の方法も異なる。それについても、非常に巧みな方法を使っていることがトレンドマイクロの調査によって判明している。その方法を簡単に紹介しよう。

図6は、オンライン銀行詐欺ツールのBKDR_VAWTRAK.FOOの動作である。

(1) PCに感染すると、C&Cサーバー(指令サーバー)から、URLと短いインジェクションコードが記述されたConfig(設定)データをダウンロードする

Configデータには、攻撃対象となる銀行や金融機関の一覧が記述されている。そして、ユーザーが、正規のオンラインバンキングにアクセスをすると、次の動作を行う。

(2) そのオンラインバンキングへの攻撃に必要なJavaScriptなどをダウンロードし、攻撃を開始する

つまり、二段階でダウンロードを行っている。この目的であるが、最初のConfigデータを更新することで、PCに感染している不正プログラムを変更しなくても攻撃対象を変更、追加することを可能にしている。攻撃者にとって、非常に効率のよい方法ともいえるだろう。

そして、このConfigファイルを分析することで、わかったことがある。2014年7月に分析を行ったところ、大手を中心とした銀行6行、クレジットカード会社20社の計26社を攻撃対象としていた。それがその約1か月後の分析では、新たに地方銀行11社が攻撃対象に加わり、計37社の銀行、クレジットカード会社が攻撃対象となっていた。これまで、攻撃対象は大手銀行などが中心とされてきたが、地方銀行なども攻撃対象となったことが、明らかになった。

●法人利用者も攻撃対象に / この1年の不正プログラムトップ3
○法人利用者も攻撃対象に

さらに、法人などを狙う攻撃もその比率を上げてきている(図7)。

さらに、自動不正送金による二要素認証突破ではユーザーのPCから送金処理が行われるため、法人ネットバンキングでも必要な電子証明書を盗む必要性がないなど、応用が可能とのことである。また、銀行側にとってはIPアドレスなどのアクセス情報もすべてユーザーのものであるため、正規利用との識別がつきにくいなど、巧妙度合いもさらにあがっている。

対策(オンライン銀行詐欺ツール以外の脅威も含む)であるが、トレンドマイクロでは以下のようなポイントをあげている。

基幹サービスを担うサーバや機密情報を扱うシステムで異変を早期に察知できる対策の実装と運用の実現
特に外部公開サーバでOSやソフトの脆弱性対策に対応できるセキュリティ対策の導入
クライアント環境におけるウイルス対策、不正サイト対策、脆弱性対策を含む総合的セキュリティ対策の導入
モバイル環境における不正アプリ対策、不正サイト対策を含む総合セキュリティ対策の導入

脆弱性の解消など、これまでも必要とされてきた対策も多い。それ以上に、トータルなセキュリティ対策が求められるということだ。

○この1年の不正プログラムトップ3

この1年の不正プログラムの検出報告もあったのでお知らせしたい。

これは、トレンドマイクロSPNによるものだ、2013年第3四半期以降、日本での検出台数報告についてアドウェアがトップを占める状態が1年以上続いているとのことだ。フリーソフトなどを経由して誘導するパターンが多いとのことである(フリーソフトそのもでなく、広告などもある)。くれぐれも注意してほしい。