最新ネットトラブル事情 [2020/5/25]
ある日、あなたの銀行口座から
預金が消えたらどうする?
金融機関とネットバンキング利用者がいま、サイバー攻撃の標的にされています!
最近、SMSやメールで届く偽のメッセージが多くないですか?
Twitterで検索すると、Apple IDやAmazon、日本郵便、運送会社などからの偽SMS(フィッシング詐欺)が届いた画像が、毎日のように投稿されています。フィッシング詐欺がこれだけ増えている背景には、それだけ騙される人が多く犯罪ビジネスとして効率が良いからだと言われています。
そんな中、最近ある変化が起きています。
それは、オンラインバンキングの銀行口座のログイン画面を装ったフィッシング詐欺が増加し、被害が急増しているのです。
もともとオンラインバンキング口座を狙ったフィッシング詐欺は7-8年前から存在し、一時期は年間30億円以上もの不正送金被害が発生したこともありました。しかし、銀行や警察の努力によって封じ込めに成功していました。
ところが、犯罪グループはあきらめていませんでした。
2018年後半になると、銀行アカウントを攻略するウイルスの報告や、再び大手都銀のフィッシング詐欺サイトが報告されるなど攻撃激化の予兆がでてきました。
そしてついに2019年9月、銀行不正送金の被害は急激に増加しました。守りが強固なオンラインバンキング口座の攻略に成功したようなのです。
どれくらいの被害が出ているの?
警察庁の発表によると、2019年9月の不正送金被害は8月の件数の4.2倍近くになりました。
9月に441件、4億800万円、
10月に397件、5億1900万円、
11月は573件、7億7600万円
被害総額はこの3か月だけで約17億円にも上っています。
現在のところ、決定的な対策が無いということで、銀行も警察も対処に追われている状況とのこと。
そして、12月に入ってからは、多数の地方銀行のフィッシング詐欺サイトも確認されています。
スマホが原因?毎日絶え間なく届くフィッシング詐欺のSMSメッセージ
従来の手口と異なる点の一つが、スマホのSMS(ショートメッセージ)の活用です。そして、冒頭に説明した有名宅配便の不在通知を装ったフィッシング詐欺でインストールされるAndroid用偽アプリ。これが、大量なフィッシング詐欺メールの配信元になっている可能性があるのです。
トレンドマイクロから2018年12月に報告された、Android 端末向け不正アプリ「XLOADER(エックスローダ)」および「FAKESPY(フェイクスパイ)」と呼ばれるマルウェアがそれらにあたります。
この偽アプリはスマホを支配下に置いて、遠隔操作で一斉に偽SMSメッセージを送信する機能も持っています。下記はこの不正アプリが、インストール時に要求する権限のリストですが、簡単に言うとAndroidスマホ上でほぼ何でもできるようになるということです。
- 端末のステータスとIDの読み取り
- 電話番号発信
- 発信先の変更
- テキストメッセージ(MMS)の受信
- テキストメッセージ(SMS)の受信
- テキストメッセージ(SMSまたはMMS)の読み取り
- テキストメッセージ(SMSまたはMMS)の編集
- SMSメッセージの送信
- 録音
- 連絡先の読み取り
- SDカードのコンテンツの読み取り
- SDカードのコンテンツの変更または削除
- 画面ロックの無効化
- この端末上のアカウントの検索
- ネットワークへのフルアクセス
など
ワンタイムパスワードの盗難とリアルタイムな送金処理
もう一つの特徴が、ワンタイムパスワードの盗難です。ワンタイムパスワード方式は多くの銀行で送金の安全性を高めるために採用され、手元にあるパスワードカードで、本人確認を行うものです。カードで生成されるワンタイムパスワードは安全のためわずか60秒程しか有効ではありませんので、利用者が偽銀行サイトにアクセスしたのとほぼ同時に、不正送金操作をする必要があります。
不正送金の手口をわかりやすくモデル化すると以下のような流れになります。
- (1)攻撃者がユーザーに向け金融機関を装った偽メール・SMSを送信
- (2)ユーザーが受信したメッセージ上のURLをクリック
- (3)ユーザーに攻撃者が用意した精巧な偽ログイン画面を表示
- (4)ユーザーが偽ログイン画面にID、パスワードなどの認証情報を入力
- (5)(4)で入力した認証情報が攻撃者に送られ、攻撃者は詐取した認証情報を利用し、正規の金融機関サイトに不正ログイン後、不正送金準備を開始
- (6)金融機関サイトは本人確認のため、ワンタイムパスワードを攻撃者に要求
- (7)攻撃者はワンタイムパスワード詐取のため、ユーザーに偽のワンタイムパスワード入力画面を表示
- (8)ユーザーは手元にあるパスワードカードが生成したワンタイムパスワードを入力
- (9)攻撃者は詐取したワンタイムパスワードで、有効時間の間に素早く送金操作を完了
一見、従来の銀行フィッシング詐欺と同じ手口に見えますが、フィッシング詐欺サイトのSSL暗号化、本物と非常によく似たドメイン名の使用など、利用者が目にしても違和感のない巧妙な作り込みがなされています。ワンタイムパスワードを入力してしまうと、即座に銀行預金を失うことになりかねなません。
そして、この作業を自動化するためのウイルスも報告されています。
複合化、複雑化した手口、どうやって防ぐのが良いのか?
ここまでの状況を整理すると、スマホの偽アプリ、偽銀行サイトの巧妙な作り込み、マルウェアの活用と、これまで別々なセキュリティー脅威として報告されてきたものが組み合わされ、標的攻略のために巧みに組み合わせて使われている様子が見えてきます。
フィッシング詐欺は、もはや目に見える偽のID、パスワードの入力画面だけではなくなって、ネット犯罪技術の総力戦を仕掛けてきていると考えられます。そして、手口は毎回少しずつ変化しているため、ここまで紹介した内容もすでに古くなっているかも知れません。常により成功率の高い方法へとアップデートされている状況と言えます。
では、オンラインバンキングの利用者が安全を確保するために気を付けるポイントがどこにあるのでしょうか?やはりここは、セキュリティーの基本を忠実に実行し、犯罪手口の入り込む隙間を減らすのが賢明でしょう。
<銀行サイトへのアクセスや設定>
- リンクURLの埋め込まれた、SMSやメールは一切信用しない。
- 口座へのアクセスは、銀行の正規アプリや、正規の銀行サイトを直接立ち上げて行う。
- オンラインバンキングのID、パスワードは、絶対に他のアカウントと共用しない。
- オンラインバンキングによる振込上限額をできるだけ低く設定しておく。
<マルウェア対策>
- 正規のアプリストア以外からアプリをダウンロードしない。
- 銀行が提供している専用のセキュリティソフトがあれば必ず使用する。
- ウイルス対策ソフトの定義ファイル更新やウイルススキャンの頻度を上げる。
- スマホにも不正アプリを検知するセキュリティアプリを入れておく。
- ネット詐欺専用セキュリティソフトを追加で導入し、詐欺サイトの検知力を上げる。
- 脆弱性を狙った攻撃を防ぐために、パソコンやスマホのOSのアップデートが出たら即座に適用する。
<日常習慣>
- 銀行口座をできるだけ頻繁に確認し異常が無いか確認をしておく。
- 異変に気付いたらすぐに銀行へ確認、被害届けを出す。
などの、対策を取った方が良いと思われます。
大切な預金を奪われないために、用心に越したことはありません。
そして、あなたの利用するオンラインバンキングの銀行サイトの注意喚起や、IPA、警察庁、JC3の発表する情報に注目し、注意を怠らないようにしてください。
eoサービスのご案内
eoでは、詐欺サイト対策ソフト「詐欺ウォール」をご利用いただける、「インターネットサギウォール for eo」を提供しています。ワンクリック詐欺やフィッシング詐欺など、インターネット詐欺の危険性があるサイトを瞬時に検知して防御する、インターネット詐欺対策ソフトです。より強固な対策となるよう、ウイルス対策ソフトを利用できる「eoセキュリティーパック」とあわせてご利用いただくと、月額料金もおトクになります。
詳しくは以下をご確認ください。
Copyright © BBSS Corporation. All Rights Reserved.