マカフィー サイバー戦略室 兼 グローバル・ガバメント・リレイションズ 室長 |
マカフィーは12月18日、サイバー脅威がこれまでの愉快犯的なものから金銭を目的としたものへとシフトしている現状や、国内で複数の金融機関がオンラインバンキング詐欺のターゲットとなったことなどを踏まえ、国内およびグローバルにおいてのサイバー金融詐欺動向に関する記者説明会を開催した。
マカフィー サイバー戦略室 兼 グローバル・ガバメント・リレイションズ 室長の本橋裕次氏は、まず、10月に発生した国内金融機関のオンラインサービスで偽のポップアップ画面を表示してログイン情報などを盗み取る詐欺について触れ、攻撃における手法が年々高度になっていることに言及した。
このような攻撃は、当初はキーロガーによって情報を盗み取るものが多かった。その後、正規のサイトに見せかけたフィッシングサイトや、正規のサービスサイトの上に偽のポップアップ画面を表示させるような攻撃に変化している。
|
サイバー金融犯罪の技術的進化 |
また、盗みとった情報を使用した不正送金も、攻撃者が手動で行なってきたものからクライアントのブラウザでの自動実行、さらにはサーバサイドで行うものへと進化しているという。
米マカフィー テクニカル・ソリューションズ デイレクター |
米マカフィー テクニカル・ソリューションズ デイレクターのブルース・スネル氏によると、欧米で被害が拡大した金融機関をターゲットとしたサイバー詐欺事件「Operation High Roller」では、「Man-In-The-Browser(MITB)攻撃」と呼ばれる巧妙な手法が使われたと説明。
この攻撃は最初の段階では、不特定多数になりすましメールを送り、マルウェアをダウンロードさせるという従来の攻撃と似たものとなっている。しかし、このマルウェアはPCにインストールされたソフトウェアの脆弱性を調査し、さらなる攻撃を行うようになっている。
これらのマルウェアは、ユーザが金融機関のオンラインサービスを使用すると活動を開始し、通信を監視して情報を盗み取り、不正な送金を実行するようになっている。不正送金においては、ダミーの画面を表示したり、送金後の口座金額を送金前の金額に書き換えたり、送金完了のメールを監視して削除してしまうなど非常に巧妙に作られており、ユーザが自ら気づくのは難しい。
|
Man-In-The-Browserの一例。同じURLでありながら、乗っ取られた右画面のウィンドウには、通常の入力欄に加えて、攻撃者が情報を盗み取るために使用する欄が差し込まれている |
また、同氏は、より多くの人々がオンライン上で送金やクレジット決済、ソーシャルといった活動を行うようになってきており、これは攻撃側にとってもその標的や活動場所が増えているということだと述べる。
さらに、OSレベルも含めクライアントのセキュリティ対策が進んでいるため、攻撃者はソフトウェアの脆弱性だけではなく、ソーシャル・エンジニアリング、言葉を変えれば「人」の脆弱性を狙ったものへと変化しているという。
同氏が例として挙げたのが、「Do not Touch」と書かれたUSBメモリをロビーやソファーなど"誰かが落としたかのように"放置しておく手法。人の興味や関心を惹きつけ、そこを狙うというものだ。PCのセキュリティソフトで通常はこのような攻撃も防ぐことができるが、"利用者が自身の手によって脅威に近づいてしまう"という点は注意すべきことだろう。
また、「個人情報が漏洩し、そのリストがあるサイトにアップされた」というのも、もしかするとその背後に攻撃者の存在があるかもしれない。自分の個人情報が漏れたかもと思い、そのリストにアクセス。膨大なリストから、例えば自分のクレジットカード番号が入っているかどうかを確認するために検索機能を使ったとする。しかし、攻撃者はブラウザの機能を模した偽の検索バーを表示するなどして、リストを餌に、"本物の"番号を盗み取っているかもしれないという例だ。
一見、単純なことのように感じるが、このような悪意に気づかない場合もあるだろう。
同氏は最後に、サイバー脅威から身を守る方法として以下の5点を挙げて改めて注意を喚起した。
|
サイバー犯罪から自分の身を守るには |
- クリックする前に考える
- OSを最新のものにアップデート
- アンチウイルスソフトの使用(加えて、デスクトップファイアウォールの使用も)
- アンチウイルスソフトを最新に
- (そしてもう一度)クリックする前に考える
Chromeで拡張機能使っているなら要確認、260万人に認証情報窃取のリスク
