Pocket

※任意団体SPREAD当時に公開されたコラムです。

一般社団法人JPCERTコーディネーションセンター 駒場 一民 氏

インターネットバンキングを狙うフィッシング~最新の手口と対策~

今回は、インターネットバンキングを狙って活発化しているフィッシング攻撃について、インターネットバンキングの利用者とサイバーセキュリティの啓発サポーターの方々に向けて、実例を含む最新動向と対策をご紹介させていただく。

一般社団法人JPCERTコーディネーションセンター(以下JPCERT/CCと称する)では、国内の情報セキュリティインシデントによる被害低減を目的として、マルウエアに感染するサイトやフィッシングサイト及びフィッシングメール等の情報をいただき、フィッシングサイトの稼働を停止させるための調整や、ホームページ等を通じた注意喚起などを行っている。

ニュースなどでも報じられている通り、銀行やクレジット会社をかたるフィッシングサイトが最近多く見つかっている。こういったフィッシングサイトで不正に取られた情報は、不正送金などに使われて、金銭的な被害に到っている事が多い。

[特集] インターネットバンキングにおける不正送金の手口と対策について
(キヤノンITソリューションズ マルウェア情報局 2015/5/19)
http://canon-its.jp/eset/malware_info/news/140522/

fb20150624_banking-thumb-400x335-762

フィッシング対策協議会によせられるメールの多くは、非常によく似た文面であり、不特定多数の人々に配信されていて、緊急事態をかたって、ログインIDやパスワードの入力を促している。IDとパスワードが攻撃者の手に渡ると、通帳とはんこを取られたも同然で、本人になりすまして口座残高の照会や送金などの操作をされかねない。

セブン銀行をかたるフィッシング (2015/04/21)
https://www.antiphishing.jp/news/alert/sevenbank20150421.html

ゆうちょ銀行をかたるフィッシング (2015/05/15)
https://www.antiphishing.jp/news/alert/jpbank20150515.html

みずほ銀行をかたるフィッシング (2015/05/20)
https://www.antiphishing.jp/news/alert/mizuho20150520.html

フィッシングメールは、公式のビジネス・メールのはずであるにも関わらず、本文が「こんにちは!」で始まっていたり、普段利用していない銀行からのメールであったりして、少し知識がある人ならば、怪しいメールであると気が付ける場合もある。しかし、フィッシングメールの知識がない人が、普段利用している銀行が送ったかのようなメールを受け取ると、その内容を信じて書かれた指示に従ってしまうかもしれない。

フィッシングメールの多くは、宛先のユーザをフィッシングサイトへ誘導するもので、多くはHTML形式のメールで送られてくる。メール文中のリンクは、画面には正規サイトのURLが表示されるが、実際のリンク先はフィッシングサイトページ(誘導先)になっていることが多く、一般のユーザの誤解を誘う物となっている。さらに、誘導先のフィッシングサイトでは、正規のインターネットバンキングページに似せて作った偽ページでIDやパスワードを入力させて詐取したり、アクセスするだけで使用しているPCをマルウエアに感染させる細工が施されていて、その後の正規のインターネットバンキング利用時に使用者が入力したIDとパスワード情報をマルウエアにより不正に窃取したり、送金先をすり替える等の手口で不正行為が行われる。

例)https://web.ib.●●●●.co.jp/servlet/LOGBNK0000000B.do
(表示上の文字列:正規サイトURL)
http://en.●●●●.cc/js/(実際のリンク先)

MITM攻撃のための設定変更に特化した新たなマルウェア、その巧妙な手口とは
(@IT 2015/4/14)
http://www.atmarkit.co.jp/ait/articles/1504/14/news038.html

銀行側でも、フィッシング被害を低減する為に自前のWebサイトで「怪しいメールにあるURLはクリックしない!万が一お客様番号やパスワード、第二暗証番号などの重要な情報を入力してしまったらお電話等でお問い合わせください!」とユーザに注意を促す努力をしているが、それでも入力してしまったという問合せが後を絶たない、とある大手銀行のセキュリティ担当者は頭を抱え込んでいる。届いたメールが怪しいと思ったら、まずは各銀行のホームページなどで紹介されている次のような注意喚起のページを確認するか、当該メール以外の方法で入手した信頼できる連絡先に直接確認していただきたい。

 

【重要】ご注意ください!インターネットバンキングご利用のポイント
(みずほ銀行 2014/12/19)
http://www.mizuhobank.co.jp/crime/banking/index.html

ゆうちょダイレクトを狙った犯罪にご注意ください(ゆうちょ銀行)
http://www.jp-bank.japanpost.jp/information/crime/inf_crm_direct.html

 

インターネットバンキングを狙ったフィッシングサイトは、フィッシング対策協議会の月次報告書によれば、2015年4月中旬以降急増している。特に大手銀行を狙ったフィッシングサイトが多く、フィッシング対策協議会からも金融機関をかたるフィッシングの報告として7回の緊急情報を配信した。

2015/05 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201505.html

こうしたマルウエアによる不正送金は後を絶たず、被害額は増え続けている。警察庁の発表によると、インターネットバンキングによる不正送金被害は年々増加し、2014年には29億円以上となっている。特に目立つのは地方銀行に関連して、個人の被害額が2013年から約2倍増になっているのに対し、法人の被害額は約17倍以上となっている点である。

平成26年中のインターネットバンキングに係る不正送金事犯の発生状況等について(警察庁 PDF)
https://www.npa.go.jp/cyber/pdf/H270212_banking.pdf

攻撃手法については、フィッシングサイトでのIDやパスワードを不正に窃取する古典的なフィッシングも続いているが、端末(PC)がマルウエアに感染したため、インターネットバンキングの利用中にIDパスワード等を自動窃取されるなど年々巧妙化している。

個人情報を盗むマルウエアZeus/Zbotの実態(IT Pro 2010/09/14)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100913/351960/

攻撃者は、IDやパスワード情報を窃取してもその情報を必ずしもすぐには使わず、ある程度の期間を置いた後に悪用されているようにも推測される。これは日本で言えばボーナス時期や給料日などの直後のような、口座に多額の残高がある時期を狙って、不正送金をしようと前もって準備しているのかもしれない。

これまで紹介してきたフィッシングメールの誘導方法やマルウエアの手法を踏まえて、フィッシング対策協議会では、インターネットバンキングを初めて間もないユーザが安全に利用するための注意事項を「フィッシング詐欺対策5ヶ条」としてまとめ、これを漫画で誰にでもわかりやすく解説した啓発資料を用意している。

また、主にインターネットバンキングを利用する法人を対象に「インターネットバンキングの不正送金にあわないためのガイドライン」も公開しているので参考にしていただきたい。

マンガでわかるフィッシング詐欺対策 5ヶ条
https://www.antiphishing.jp/phishing-5articles.html

インターネットバンキングの不正送金にあわないためのガイドライン
https://www.antiphishing.jp/report/guideline/internetbanking_guideline.html

インターネットバンキングの本人認証をより強靭にするため、各銀行ではワンタイムパスワードやトークンなどセキュリティを強化した仕組みを併せて利用することを推奨している。

インターネットバンキングは、比較的容易に金銭を詐取できるので、サイバー攻撃の標的として攻撃者に非常に狙われやすい。しかし、いつでもどこでも振込や残高確認ができ、近くに支店やATMがない場合には無くてはならないサービスである。今後も安全に利用するために、少なくとも次のような基本的な対策を検討していただきたい。

・パソコンを最新の状態にアップデートしておく
・ウイルス対策ソフトの定義ファイルなどは最新の状態にする
・不審なメールはリンクをクリックしない、添付ファイルは開かない
・相談窓口や、各銀行の問い合わせ連絡先リストを作っておく

ネット犯罪と言うと遠く海の向こうで行われている犯罪のように感じられるかも知れないが、ここで述べたフィッシングは、身近に迫る危険性として認識すべきである。しかし、インターネットバンキングは危ないから使用しないとの判断もあろうが、きちんとセキュリティ対策がなされたPCで、安全な使い方を覚えて、インターネットバンキングのメリットを享受しつつ、安全に利用することを心がけていただきたい。

インターネットバンキングを狙ったフィッシングにおける被害の事例や動向を説明させていただいた。今後も新たな手口による攻撃が次々に登場すると思われる。サポーターの方々には、そうした情報の継続的な収集に努め、時流に即したサポートをお願いしたい。

一般のユーザの皆さんには、インターネットバンキングに関連する詐欺的行為の危険性を具体的に理解し、被害を最小限に食い止めるために、先に述べたような基本的な対策を心がけて、安全にインターネットバンキングを活用していただきたい。

JPCERT/CCおよびフィッシング対策協議会としても、今後もこうしたコラムやセミナーなどを通じて、サポーターをはじめとするインターネットバンキングのユーザの皆さんに向けた、基本対策の普及啓発活動に努め、誰もが安全にインターネットバンキングを利用できる日が到来することを願っている。

駒場 一民氏(一般社団法人JPCERTコーディネーションセンター)

※筆者紹介

アンチウイルスベンダーにおいて、グローバルに展開するパートナープログラム事務局の運営に携わり、海外部署や日本国内部署との連携によるイベントの開催や、ポータルサイトの運営・管理・分析、サイトコンテンツの企画制作などに従事。
2014年、一般社団法人JPCERTコーディネーションセンターに情報セキュリティアナリストとして着任。フィッシング対策協議会の事務局の運営に携わり、APWGのシンポジウムへの参加や、講演による啓発活動も行っている。
1996年からインターネットユーザとなる。JPCERT/CCにおいてセキュリティの重要性を再確認し、見えない・見えにくいネットの脅威について広い世代に向けて発信したいと思っている。プライベートでは最新のものが販売されるとすぐに買ってしまうというガジェット好き。

SPREAD事務局より
フィッシング対策協議会の執筆陣によるリレーコラムの最終回。今回はリンク多めで読むのが大変だったかもしれませんが、興味のある方はぜひいろいろ読んでみると最近の動向が理解できるのではないかと思います。

年金機構の件もあり、『怪しいメールは開かない』というのはあまり現実的ではないということが、多くの人にもわかったのではないかと思います。フィッシングも同じで、いかに信じ込ませてリンク先に行かせるかというところにもどんどん注力してきますので、最初は日本語が変だとか『怪しさ』センサーにひっかかるものがあったかもしれませんが、だんだんわからないようになってきます。

基本は『銀行からメールでパスワードを問い合わせたりすることはない』ということです。銀行からのお知らせは必ず公式ホームページに記載があるはずなので、メール内のリンクをクリックしないこと、不安に思ったら銀行に電話をかけて確認する、クリックしてしまった場合はパスワードを変更する、銀行に連絡をする、この辺りはサポーターとしておさえておいて欲しいところです。ひっかかるのは恥ではありません、その後の対応が大切。相談されたとき『なんでクリックしちゃったの?なんでこんなことしたの?』は禁句です。『よく気がついたね、よく相談してくれたね』とほめてあげてください。ひとりひとりができることは少ないかもしれませんが、安心して相談できる先が増えれば被害を減らす事ができるはずです!

STOP. THINK. CONNECT.(立ち止まる・考える・楽しむ)を合い言葉にとりあえず立ち止まってよーく考えてからクリックする習慣をつけましょうsign03

『危ない』『怖い』ばかりでなく安全な利用方法を一緒に考え伝えていきましょう!happy01