メガバンクなど国内3行のインターネットバンキングで2012年10月から11月にかけ、総額420万円が不正に引き出される事件が発生した。
欧米では似た手口で既に2000億円規模の被害を出した。
正規の銀行サイトで発生した事件を前に、金融機関各社の対策は急務だ。

　「不正にポップアップ画面を表示させてインターネットバンキングの情報を盗み取ろうとする犯罪にご注意下さい」
　国内金融機関は2012年11月上旬、新手のフィッシング詐欺について警告する告知を一斉公開した。
10月から11月にかけ、ネットバンキング利用者のWebブラウザーに偽のポップアップ画面を表示させて認証情報をだまし取る事件が多発したためだ。

　不正なポップアップ画面の表示が確認されたのは、ゆうちょ銀行、三井住友銀行、三菱東京UFJ銀行、みずほ銀行、楽天銀行、住信SBIネット銀行の6行 と、クレジットカード会社の三菱UFJニコスだ。
警察庁によれば、不正画面にパスワードを入力した利用者は11月9日時点で364人に上る。
このうち三井 住友、みずほ、楽天の3行では、合計5口座から総額420万円が不正に引き出された。

　今回の事件には、これまでのフィッシング詐欺とは根本的に異なる点がある。
利用者がアクセスしたのが、正規の銀行サイトだった点だ。
一般的なフィッシン グ詐欺は、本物に似せた別サイトに利用者を誘導し、IDやパスワードをだまし取る。
これに対して今回の事件では、利用者のPCに感染したウイルスが、正規 サイトから受信したHTMLを改ざんし、偽のポップアップ画面を表示した。

　利用者は正規サイトを参照しているので、アクセス先が正規サイトであることを証明する「SSL証明書」のほか、Webブラウザーやセキュリティソフトが 備える「フィッシング詐欺検知機能」はほとんど無力だった。
使われたウイルスはいずれも新種で、ウイルス対策ソフトでは発見できなかった。

　正規サイトとの通信を改ざんして認証情報を盗み取る手口は、欧州を中心に全世界で最大2000億円もの被害を出したとされる金融詐欺事件 「Operation High Roller」と同じものだ。

HTMLを改ざんし偽画面を表示

　国内でポップアップ型フィッシング詐欺を引き起こしたウイルスは、利用者が特定の銀行サイトにアクセスしたことを検知して行動を開始する。

　ウイルスを分析したセキュアブレインによれば、このウイルスは銀行サイトからWebブラウザーが受信したHTMLを改ざんし、不正なスクリプトを挿入す る機能を持つという。
Webブラウザーには従来通りログイン画面が表示されるが、利用者がIDとパスワードを入力して「次へ」ボタンを押すと、挿入したス クリプトにより不正なポップアップ画面が表示される。
同画面では「身分を確かめるため」と称し、振り込みに必要な「第2パスワード」や「乱数表」、「秘密 の質問とその答え」の入力を求める。

　利用者が騙されて入力すると、ウイルスはキーロガー機能や画面キャプチャー機能で認証情報を入手し、ウクライナにあるレンタルサーバーに送信する。

　銀行サイトはいずれもHTTPSによるSSL通信でデータを保護しているが、詐欺を防ぐことはできなかった。
SSL通信が保護しているのは、あくまでPCとサーバーとの通信路だけだからだ。

　米グーグルで同社製Webブラウザー「Chrome」のセキュリティを担当するイアン・フェッティシニアプロダクトマネージャーは、次のように述べる。
「PCにウイルスが侵入した後では、Webブラウザーにできる防護策はほとんどない」。
SSL通信だから安全だという発想は危険だ。

口座番号と送金額をさし換える手口も

　欧州で猛威を振るった金融詐欺「Operation High Roller」で使われたウイルスは、日本で見つかったウイルスと起源は同じながら、より高度な機能を備え、ワンタイムパスワードやICカードといった2 要素認証すらも無効化した。
　金融詐欺を調査したマカフィーによれば、ワンタイムパスワードを破る手口は以下の通りだ。
まず、利用者がログインIDやパスワードでネットバンキングサ イトに正規にログインする。
その際、日本での事例と同じくHTMLを改ざんし、本来は送金操作の直前に入力するはずのワンタイムパスワードを、この時点で 入力させる。

　その後、ウイルスはWebブラウザーに「しばらくお待ち下さい」といった偽画面を表示させ、時間を稼ぐ。
その間に、不正振込みの口座番号と送金額、不正取得し たワンタイムパスワードなど偽情報を銀行サイトに順次送る。
利用者からは何も見えないまま、銀行サイトのサーバーから見れば正規のプロセスで送金処理が 進む。
これらの処理を、ワンタイムパスワードの有効時間内に終わらせる。

　正規の認証プロセスに介入し通信データを改ざんする攻撃は、「Man In The Browser（MITB）」と呼ばれる。
MITB攻撃の別の例として、送金画面で利用者が入力した口座番号と送金額のデータだけを書き換える手口も存在 する。
送金内容を確認する画面のHTMLを改ざんし、あたかも利用者の入力通りに送金ができたように見せかける。
この場合、利用者がMITB攻撃に気づく ことはほとんど不可能だ。

　MITB攻撃を実行するウイルスのほとんどは、開発ツールが広く出回っているウイルス「Zeus」や「SpyEye」の派生品とみられる。
Operation High Rollerも同じく、両ウイルスの亜種が基になっている。
日本で今回確認されたウイルスについても、ウイルスを分析したセキュアブレインは 「SpyEyeの亜種ではないか」とみており、複数のウイルス検体を保有する警察庁もSpyEyeと似た特徴を持つことを認めている。