進化するネット犯罪――RSAが明かす詐欺の実態と防御策（2/2 ページ）

[ITmedia]

巧妙化するネット詐欺の手口

　ネットバンキングを狙ったネット詐欺の手口は年々巧妙化しており、一般の利用者ではそれを見抜くのは難しい。マイモン氏は個人情報を盗む新しい手口をデモを交えて紹介した。

　新手の詐欺は、ユーザーのPCをトロイの木馬に感染させるところから始まる。感染ルートとしては、メールによる添付という従来のものと、Webサイト経由（“ドライブバイ感染”と表現される）の2通りが一般的だという。実証実験のデモを見ると、感染前のオンラインバンキングのサイト画面にはログイン入力フィールドとしてIDとパスワードが表示されていたが、感染後に同じサイトを開くとATM番号などの入力フィールドが新たに追加されていた。これは、URLを偽装したフィッシング詐欺サイトなのかというと、実は正規のサイトなのだという。

　つまり、ユーザーは正規のオンラインバンキングサイトにアクセスしているのだが、感染ウイルスによって新たに追加された入力フィールドの情報も含めて、メールアドレスなどの入力情報をすべて傍受され、盗まれているというのだ。盗まれた情報はログとして蓄積、犯罪者の元に配信される仕組みになっている。

ユーザーは攻撃をどう防ぐ？

　こうしたネット犯罪に対する防衛について、マイモン氏は金融機関とユーザー双方が対策を講じる必要があると指摘する。

　まず金融機関側は、「詐欺による損失を低下させる」、そして「利用者の信頼を向上させる」という2点に留意する。こうしたネット犯罪は、企業に二重の損失をもたらす。1つは直接的な損害、つまり盗まれた金額の被害であり、もう1つは、ユーザーがネット犯罪を恐れてオンラインバンキングなどのサービスを利用しなくなるという、より大きな損害である。利用者の信頼向上という面では、ネット犯罪対策を行うことはもちろんだが、目に見える形での安心を強調することも重要であるとしている。その手段として、ワンタイムパスワードの利用などは非常に有効だという。

　その一方で、「ユーザー側の防止対策は非常に難しい」と話すマイモン氏。過去、欧米では巨額の投資を行って利用者の啓発に努めてきたが、残念ながら一定の成果を上げるまでには至っていない。一般のユーザーに、セキュリティについて真に何が正しく、何が間違っているかを教えるのは困難だからだ。それを踏まえた上での一般ユーザーへのアドバイスとして、マイモン氏はサイトの信頼性やメールで配信される情報の信ぴょう性や銀行の取引明細の内容などに一層の注意を向けることが大切だとした。