Windows 10環境で使うネットバンキングは大丈夫? - 専門家に聞く脅威と対策の基本
警察庁が9月3日に発表した2015年上半期のネットバンキングの不正送金被害額は約15億4,400万円で、2014年下半期の約10億5,800万円からプラスに転じた。発生件数は754件。法人被害が増加しているものの、依然として個人被害は全体の67%(2015年上半期)と高く、ネットバンキングを使うユーザーは"狙われている"という意識を持っておく必要があるだろう。
今回、トレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏に、ネットバンキングを取り巻く脅威や、個人でできる対処法の基本を聞いた。
――ネットバンキングの脅威について聞く前に、まず気になることがあります。2015年7月29日に、新OS「Windows 10」がリリースされた際、ネットバンキング各社から「Windows 10での動作確認が取れていない」として、アップグレードを控えるようアナウンスがありました。セキュリティ的には、Windows 10環境でネットバンキングを使うことに問題はないのでしょうか。
基本的には、ネットバンキングが「対応した」と表明しているのであれば、特別セキュリティに問題はありません。
今回の場合では、セキュリティ面というより、本来の意味での「動作の確認がとれていない」という意味合いが強いと思います。「対応していない」という場合は、そもそもネットバンキングが、Windows 10で標準搭載したMicrosoft Edgeという新しいブラウザで正常に動かなかったり、エラーが出たりする可能性があります。
Windows 10に限らず、動作確認が取れていない環境で使う場合は、確かに安全面もあるのですが、まずちゃんと動作するかわからないということを念頭に置く必要があります。しかし、対応していない新ブラウザで使うことが、ウイルスに感染したり、情報を抜かれたり、という直接的な危険につながるものではありません。
――Windows 10に対応していないからといって、セキュリティ面に特別な問題があるわけではないのですね。では、アップグレードしても大丈夫なのでしょうか。
普段使っているネットバンキングがまだWindows 10に対応していない、という状況であれば、動かない可能性が高いので、各銀行のアナウンスに従って使ってください。Windows 10であれば、Microsoft Edgeのほかに、Internet Explorer 11も搭載しているので、それを使うという手もあります。
すでに複数のネットバンキングで動作確認が表明されていますが、各ネットバンキングも今後、当然ですが新しいOSに対応していくでしょう。
一方で、これもWindows 10に限りませんが、Windowsは今までセキュリティの改善も含めたアップデートを何度も行い、新OSを提供しています。従って、より新しいOSを使ったほうが、何かあった時に攻撃に遭う確率が低くなる、という面はあります。
脆弱性に関しても、各プラットフォームごとで攻撃方法が異なることもありますが、基本的には新しいOSの方が安全で、被害に遭いにくいですね。ネットバンキングの利用に関しては、銀行の対応アナウンスに従う必要がありますが、セキュリティの観点だけでいえば、新OSにアップグレードした方が良いといえるでしょう。
――9月3日、警察庁から2016年上半期のネットバンキング不正送金被害に関する情報が出ましたが、いま、ネットバンキングを取り巻く脅威にはどんなものがあるのでしょうか。
現在、ネットバンキングを狙う主流の攻撃方法は2種類あります。ひとつはウイルスに感染させて情報を抜き取るケース。
そしてもうひとつがフィッシング詐欺です。
ウイルス感染による不正送金は、我々ではオンライン詐欺ツールという言い方をします。ウイルスがPCに入る感染経路としては、メールの添付でウイルスが送られてくるケース、そして正規のWebサイトや正規サイト上の広告にウイルスが仕込まれ、自分のPCに侵入を許すケースがあります。
オンライン銀行詐欺ツールは、2013年から活発化してきた攻撃方法です。メールやWebサイト経由でウイルスに感染する。すると、銀行のサイトにアクセスしたつもりが、正規の銀行の画面に偽の画面が表示され、アカウントやパスワードなどを第三者に盗まれてしまいます。
●SMSに送られる偽メッセージ
――フィッシング詐欺もよく聞く攻撃ですね。最近のフィッシングメールは昔と比べ、日本語が流暢に使われている印象があります。
フィッシング詐欺は、本物そっくりの偽画面にユーザーが騙され、情報を入力してしまうケースですね。本物のコンテンツをそっくりそのまま、完全にコピーしているので、まず見分けがつきません。フィッシングサイトへは、フィッシングメールに表示されているURLをクリックして誘導されるケースが多いです。最近はメールの文面や内容も巧妙になってきました。
両方とも、基本的には昔からある手法です。昔なら、危険なサイトを見ているとウイルスに感染する、といったイメージがあったと思うのですが、いまは正規のサイトを見ている場合でも被害に遭うケースが多くなってきています。
――ウイルス感染もフィッシング詐欺も、確かに昔からよく聞く攻撃ですね。最近ではどんな手口があるのでしょうか。
フィッシング詐欺は手口が進化してきていて、従来は正規メールを装って偽サイトのURLをクリックさせる方法が主だったのですが、最近はスマートフォンのSMS(テキストメッセージ)を使ってフィッシングサイトに誘導する事例がみられます。「あなたのアカウントが失効しました、更新をお願いします」という内容ですね。
偽のメッセージに載っているURLにモバイル端末からアクセスすると、ネットバンキングのモバイル向けフィッシングサイトにつながります。そこでIDやパスワード情報、口座番号や乱数表(0から9までの数字をランダムに並べた表。銀行では、数字とカタカナを組み合わせ、契約カード裏面に記載されている番号と照らしあわせた認証方法が主流)まで入力してしまうと、ウイルスが自動で送金手続きを進め、不正送金につながってしまいます。
――SMSが送られるということは、電話番号が流出しているのですか?
電話番号は流出している場合もありますが、多くは決め打ちで、ランダムで送っているものです。SMSのメッセージ自体は、米国など海外の電話番号から送られるケースを確認しています。メッセージは日本語です。
――銀行を装ったメッセージであれば、「こういうものだ」と思い込んで、気づかずアクセスしてしまう場合がありそうですね。
そうですね。しかし、最近はもっと巧妙な攻撃が出てきました。まずは、銀行が提供しているワンタイムパスワードなどを回避する攻撃です。
ウイルスに感染したPCでネットバンキングにアクセスし、ログインした瞬間、ウイルスが勝手に送金作業を始めます。ユーザーのPCでは、本人認証のためのワンタイムパスワード画面の表示待ちなんですが、正しい画面が表示される前に、裏側で送金指示を進めるんです。その後、正規のワンタイムパスワードの入力画面が出た時、ユーザーにそのままパスワードを入力させるんですね。1分や30秒など、ごく短時間しか利用できないワンタイムパスワードは、スマートフォンのメールやトークン(ワンタイムパスワード生成器)などで、ユーザーにしかわからない状態で送付されます。
しかし、これをユーザー自身に入力させることで、容易に回避できる。ユーザーが情報を入力した瞬間に、送金が完了します。
ワンタイムパスワードは1分や30秒などで数字が変わってしまうため、攻撃者が入手しても、すでに使えなくなっていることが多い。なので、安全なセキュリティだと言われてきました。しかしこの攻撃では、ワンタイムパスワードを突破して不正送金が行われてしまうわけです。ウイルスはユーザーに見えない部分で動くので、ユーザーは本当に攻撃に気づきません。
●個人でできる対策は?
――なるほど。プログラムですから、ログインした瞬間に送金作業が終わってしまうわけですね。ワンタイムパスワードも回避されてしまう。
さらに巧妙な攻撃もあります。この攻撃では、ウイルスがプロキシサーバ(ネットワーク内の中継サーバ)を自動的に設定してしまい、ネットバンキングへ接続する際に、送信情報を搾取する不正なプロキシサーバを経由するようアクセス経路が変えられてしまいます。
この攻撃の代表的なウイルスが「WERDLOD」(ワードロッド)です。自社調べで、2015年1月~3月の間で約400件が国内で検出されました。今も根強い攻撃方法で、感染するとプロキシサーバ設定を勝手に書き換えます。法人では自動構成スクリプトで特定のアクセス先を設定している場合もあるでしょうが、一般的なユーザーでは、設定していない場合が多いと思います。
厄介なのは、ウイルス自体を駆除しても、プロキシサーバの設定は残ってしまうという事です。設定が残っている限り、インターネットへの接続には不正サーバを経由し続けます。しかし最終的なアクセス先はネットバンキングの正規サイトなので、普通の人はまず気づけません。そして、不正送金が行われてしまいます。
――ネットバンキングでは、こういった攻撃を防ぐために、自社サーバ以外へアクセスできないようにしているところもありますね。これらの攻撃に対して、個人でできる対策はありますか。
フィッシングサイトの場合は、URLを確認することが確実ですね。URLが正規サイトと異なるので、「あれ、おかしいな?」と気付くことができます。ホストURLを似せる手口もありますが、アドレスバーの表示全てを誤魔化すことは困難なので、これが一番効果的です。ただ、モバイルサイトですと、URLが略されてしまい、全部表示されないので、確認がしづらい。見落とす場合もあるでしょう。
また、ブラウザとサーバ間の通信を暗号化する"https"で保護されたページは、「プライベート接続です」という表示があり、通常の通信より改ざんされにくく安全性が高いため、これも確認するといいと思います。サイトによっては、その企業が本当にあるという証明書情報も確認できるでしょう。
――実際ウイルスに感染した場合はどうすればいいのでしょうか。ウイルスの挙動が表に出ないので気付かなかったが、すでに感染しているという場合もあるのでは。
そうですね。ウイルスに感染している場合、攻撃に気づく要素はほぼありません。正しいURLの正規サイト上に偽の情報入力ツールが出るので、ユーザーは気づきにくいんですね。
ウイルスに感染すると、ウイルスがPCとWebサイトとの通信をずっと監視し、銀行のWebサイトへのアクセスを感知して、偽のポップアップ画面を出す。毎日使っているなかで、今まで表示されていなかった入力画面が出てきた時などに、怪しいと気づける"かもしれない"、というレベルでしょう。なので、我々だと「ウイルスバスタークラウド10」という製品ですが、フィッシング対策機能を搭載したセキュリティ製品で補う方法は効果的だと思います。
また、Internet ExplorerやFlash Player、Adobe Reader、JAVAなど、脆弱性を突かれやすいアプリケーションを常に最新版にアップデートしておくことも重要です。修正された脆弱性を突いた攻撃ならば、完全に防げます。基本的な対策はこの部分でしょう。その上で、パスワードマネージャを使ってもよいですね。まずは脅威があるということを知っておくのが大事だと思います。
――ありがとうございました。
提供:
