IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、オンラインバンキングで、不正なポップアップ画面を使い、個人情報を盗みとろうとする手口について取り上げている。

これまでのフィッシング詐欺とどう違う?

インターネットを経由した、オンラインバンキングはこれまでもフィッシング詐欺などで狙われてきた。しかし、今回の手口はこれまでのフィッシング詐欺とは、まったく異なる手口が使われている。まずは、そこから説明しよう。従来型のフィッシング詐欺では、

本物とそっくりな偽のWebサイトに誘導して、個人情報を盗み出す

といったものだ。しかし、今回のポップアップでは、正規のWebサイトにアクセスしていると、

途中から、偽のポップアップ画面が出現する

というものだ。最初は、正規のWebサイトにアクセスしているので、偽のポップアップが出現しても、「偽物」と気が付きにくい。

実際の手口はウイルスに感染させることから

IPAの分析によれば、不正なポップアップを表示させるウイルスに感染することから始まるとのことだ。ウイルス感染は従来通り、メール添付、スパムや掲示板で偽の配布サイトに誘導する、正規のWebサイトを改ざんして配布サイトに誘導するといった手口である。このウイルスに感染すると、特定のオンラインバンクング中に、不正なポップアップが表示される。以下、その具体例である。まずは、通常のログイン画面である(図1)。

図1 通常のログイン画面(今月の呼びかけより)

この時点で、ウイルスに感染していると、図2のような画面となる。

図2 偽のログイン画面(今月の呼びかけより)

この時のURLは図1と同じなので、URLから偽のWebページと判断することはできない。図1と図2の違いであるが、注意書き部分が異なる(赤枠で囲った部分)。図2で、IDとパスワードを入力すると、図3になる。

図3 不正なポップアップ画面(今月の呼びかけより)

ここでは、設定済の「質問」と「合言葉」を入力するように求められる。オンラインバンキングに限らず、本人確認のために行われるもので、第二認証情報とも呼ばれるものである。質問や合言葉以外にも、あらかじめ乱数表などを送付しておき、実際には、その中の任意の数字指定されて入力するものだ(図4)。

図4 乱数表の数字を入力させる不正なポップアップ画面

IPAによれば、正規のWebサイトの利用中に、本物の画面にかぶさるような形で偽のポップアップが表示される。上述のように、URLからは偽のポップアップであることは、判断しにくい。オンラインバンキングなどでは、通信を暗号化するSSLなども使われる。しかし、このウイルスは、本物のサイトにアクセスした後で、その画面自体をPC内で改ざんしていた。こうなると、ユーザーが不正と気が付く可能性は、かなり低くなる。

この手口への対策

IPAは、今回のようなウイルスに対し、次の3つの対策を紹介している。

1.ウイルスに感染しないようにする

まずもって、重要な対策である。では、具体策には何があるか。まずは、脆弱性の解消である。OSやアプリケーションには、日々、脆弱性が発見されている。ウイルスの感染では、この脆弱性が悪用されることが多い。したがって、まずもって脆弱性の解消が必要となる。次いで、セキュリティ対策ソフトの導入である。

ウイルス感染で、触れたようにスパムメールや掲示板などから、ウイルス配布サイトに誘導される。しかし、かつてのようにあからさまな誘導ではなく、非常に手の込んだものとなっている。差出人を友人や知人とい偽る、SNSなどの知り合いなどを装うである。こうして、ウイルス配布サイトに誘導されたたとしても、気が付きにくい。そこで、危険なWebサイトを事前にブロックするなどの機能を活用したい。また、強制的にウイルスをダウンロードされても、既知のウイルスであれば、セキュリティ対策ソフトがブロックしてくれる。さらに、セキュリティ対策ソフトも、つねに最新の状態を維持しておくことだ。

2.オンラインバンキング利用時の注意

IPAでは、乱数表や合言葉などを一度にすべて入力しないようにと注意する。図3では3つの合言葉を入力するように求められているが、通常、すべて第二信用情報を入力させるようなことはありえないとしている。もし、このような画面が表示された場合には、まずもって疑ってかかることが必要となる。また、通常と異なる入力などがあった場合には、入力せずに、電話などでサービス提供者に確認をしてもよいとのことだ。

3.一歩進んだIPAのオススメ対策

IPAでは、さらなる対策として、パーソナルファイアウォールやワンタイムパスワードの導入を推奨している。パーソナルファイアウォールは、ウイルスの通信を遮断したり、感染に気が付く可能性がある。ただ、その設定はやや難しい部分もある。セキュリティ対策ソフトによってはその機能を持つものもある。これらを使う手もある。ワンタイムパスワードはその名の通り、1回限りのパスワードである。したがって、万が一、詐取されても再度、悪用される心配がない。ただし、オンラインバンクなどがこのサービスを提供している必要がある。実際に提供されているか、確認してもいいだろう。

また、IPAでは、このウイルスに感染している、不正ポップアップを経験した、ということがあれば、ぜひ、安心相談窓口まで連絡してほしいとのことである。連絡先はWebサイトに掲示してある。