マカフィーによると、2012年に発生した大規模なサイバー金融詐欺による推定被害総額は最大で20億ユーロ(2000億円)にのぼるという。これはヨーロッパで猛威を振るった「Operation High Roller」と呼ばれる攻撃によるものだ。2012年初頭から実質2カ月間ほどの短い活動期間でこれだけの“成功”を収めたOperation High Rollerは、オンラインバンキングを対象とした新たな脅威として注目を集めた。
金融機関に対する脅威は日本も例外ではなく、国内の大手銀行やクレジットカード会社の利用者を狙った攻撃が警察庁から報告(「インターネットバンキング利用者等の個人情報を狙った新たな手口の事案に対する対策について」(PDF)/2012年11月6日)されている。
こうした状況を受けて、マカフィーは12月18日、サイバー金融詐欺の現状と傾向について報道関係者向けの説明会を実施。実際にリモートアクセスツールを使ったデモを交えながら、最新の脅威を解説した。
マカフィーサイバー戦略室兼グローバル・ガバメント・リレイションズ室長の本橋裕次氏は、金融機関を狙ったサイバー犯罪の技術が年々高度化してきたと警鐘を鳴らす。「最初は金融機関の認証情報を盗む手法としてキーロガーが利用されていたが、現在ではWeb Injectによって不正なポップアップを表示してユーザー自身に認証情報入力させたり、(盗んだ認証情報を利用した)不正な送金処理をサーバ側で自動的に行うように効率化されている」(同氏)。
その具体的な手順は、米McAfeeのブルース・ネルス氏(Bruce Snell)が解説した。まず最初に、不特定多数を対象にしたフィッシングメールを大量に発信し、ユーザーを不正なWebサイトへ誘導してトロイの木馬をダウンロードさせる。ターゲットのPCにトロイの木馬を仕込み、遠隔操作ツールを使って対象のPCをコントロールするのが狙いだ。以前、「30分でできるサイバー犯罪体験――トロイの木馬でPCを乗っ取ってみた」で紹介したように、ツールを使えば特別な知識がなくても、対象のPCを簡単に制御できるようになる。
次にトロイの木馬を通じて、対象のPCにマルウェア(ZeusやSpyEyeなど)をダウンロードさせる。これらはユーザーが銀行のWebサイトにアクセスするまで潜伏しているが、ひとたびオンライン銀行にアクセスすると、HTMLに不正なコードを挿入して、認証情報の確認をうながすポップアップ画面を表示したり、一部の入力欄を偽の入力欄で上書きする。(本物そっくりの)偽のWebサイトに誘導しているわけでも、正規のWebサイトを改ざんしているわけでもなく、そのユーザーだけがいわば“すり替わった画面”を眺めることになる。
そしてユーザーがまんまと認証情報を入力すると、その情報が攻撃者の手に渡って預金が引き出されてしまう、というわけだ。また、不正な送金処理を完了しても、ブラウザに表示される預金残高は送金前と変わらないように書き換えられ、銀行からの取引完了通知メールもバックグラウンドで削除されてしまう。こうした巧妙な処理によって、実際の被害が顕在化するのが遅れるケースもある。なお、Operation High Rollerでは、攻撃者が手動で送金処理を行う必要はなく、データベース化された不正口座(ダイナミックに送金先が変わる)に向けてサーバ側で自動的に送金する仕組みになっている。捜査によってC&Cサーバが押収され、事件は終息に向かっているものの、まだ犯人は捕まっていないという。
インターネットは生活を便利にしたが、その一方でこれを利用するサイバー犯罪者にとってもチャンスは増えてしまった。どれだけOSが進化し、セキュリティが強化されても、それを使うのが人間である以上、サイバー犯罪者たちは巧みに人の心理を突いて攻撃を仕掛けてくる。
ネルス氏は「彼らから見れば人間もシステムの一部、それもぜい弱性を抱えたシステムだ。例えばコードを書いてOSのぜい弱性を突くのと同じように、人間の関心や好奇心、あるいは同情を買うような攻撃をするだろう」と語り、最後にサイバー攻撃から身を守るためのポイントを5つ挙げた。
1、リンクをクリックする前に考えること
2、定期的にOSをアップデートすること
3、少なくともアンチウイルスソフトを、できればファイアウォールも、そしてできればマカフィー製品を使うこと
4、セキュリティソフトを最新に保つこと
5、そして最後に、何かクリックするときは考えること
Copyright © ITmedia, Inc. All Rights Reserved.