こっそりと送金先を変えるオンラインバンキング犯罪に注意：ユーザーの対策は困難

トロイの木馬を使って、オンラインバンキングでの送金先をひそかに変更してしまうMITB攻撃が増加しているとしてRSAセキュリティが手口を解説している。

[ITmedia]

　RSAセキュリティは9月29日、8月のオンライン犯罪動向に関する報告書を公開し、過去数カ月で増加傾向にある「Man in the browser攻撃（MITB攻撃）」に対する注意を呼び掛けた。

　MITB攻撃は、改ざんされた正規サイトなどを閲覧した際に感染するトロイの木馬によって行われる。感染したユーザーがオンラインバンキングなどへログインすると、トロイの木馬がユーザーの送金先の銀行口座をひそかに変更してしまい、攻撃者が不正に金銭を盗み出してしまう。

　攻撃者は、まずトロイの木馬から感染ユーザーのクレデンシャル情報を盗み出し、ボットなどの保管用サーバに情報を蓄積する。この情報を基に「ミュール」と呼ばれる変更先の口座を開設する協力者をインターネット広告で募集する。

　広告では「口座を開設して振込みを手伝うだけで金が手に入る」などの文句で呼び掛け、ミュールとなる人物は犯罪であることを認識せずに参加してしまうという。過去には日本の金融機関をかたった英文の募集広告も見つかっている。

　ミュールが口座を開設すると、攻撃者は口座情報をトロイの木馬に登録する。トロイの木馬はユーザーがオンラインバンキングにログインするのを常時監視しており、セッションが開始されると、セッションをハイジャックしてユーザーが送金する際に送金先をミュールの口座へ変更するという流れだ。

MITB攻撃の流れ

　同社によると、MITB攻撃は2008年ごろに発見されたが、今春以降に海外を中心に被害が増加傾向にあるという。最近ではトロイの木馬が複数のミュール口座情報を動的に変更して振込み先を変える手口が見つかったほか、警察機関やセキュリティ調会社などがトロイの木馬を指示する一時保管用サーバにアクセスした際に偽の情報を提供して捜査をかく乱させる手口、攻撃者が複数のトロイの木馬やミュールの口座を一元管理できる管理用プログラムが見つかっているという。

　オンライン認証製品を担当する水村昭博氏は、「ユーザーが正しい送金操作を行ったと思っても、その裏側で変更されてしまうために被害に気付くのが難しい」と指摘。ユーザー側の対策では、ウイルス対策ソフトを最新の状態にすることや、送金履歴を常にチェックして不審な送金先の有無を確認することだという。

　一方、金融機関向けには正規ユーザーの利用履歴に基づいて認証を行うリスクベース認証システムや、セッション中の不審な行為を監視するシステムを提供している。いずれのシステムでも正規ユーザーのIPアドレスやコンピュータの情報など100項目以上で行動をチェックし、普段とは異なる行動が確認されれば金融機関の担当者に警告する。これにより、MITB攻撃による被害からオンラインバンキングユーザーを保護できると同社では説明している。

過去1年間のフィッシングサイト発見数（RSA調べ）

　8月に同社のフィッシング詐欺対策チームが発見したフィッシングサイトは1万6164サイトで、過去最高を記録した。通称「Rock Phish団」と呼ばれる犯罪組織に活動が活発になり、同組織による攻撃が前月から38％増加した。

　標的となる企業数に大きな変化はなく、水村氏は「大手企業を中心にこれまでに標的にされた企業が再び標的にされる傾向が強まっている」と解説している。

過去のニュース一覧はこちら

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

トロイの木馬