銀行と信じて暗証番号や口座番号を空欄に入力したら、犯罪者による偽画面だった!こんな手口でインターネットを使ってユーザーを騙す手口をフィッシングと呼ぶ。
従来型の手口はユーザーのもとに金融機関を騙った偽メールを送り、リンクにクリックさせて偽サイトに誘導するタイプが多かった。ところが近年欧米で流行しているのはユーザーが最初は本物の銀行のウェブサイトにアクセスしながらその時、偽画面が出てくる(ポップアップする)手口だ。 そして被害者がインターネットバンキングを使って金融機関から別の口座に送金する時、送金先の口座へのアクセスを勝手に犯罪者の口座向けに改変されてしまうそうである。この新手のフィッシングはMITB型と呼ばれている。MITBはマン・イン・ザ・ブラウザの略である。このMITB型は欧米では数年前からすでに被害が多発していたが、昨年ついに日本に上陸。昨年暮れにゆうちょ銀行を含む金融機関8社の顧客が狙われ、総額数百万円が奪われたという。
最初は本物のウェブサイトにユーザーが自分の意志でアクセスしたのに、なぜ偽画面が出てくるのかと言えば〜対策ソフトを作っている情報セキュリティ会社セキュアブレインの丸山芳生氏によれば〜ユーザーのパソコンのブラウザがコンピューターウイルスに感染しているからだ。ウイルスに感染したことで被害者のパソコンが常時犯罪者の監視下に置かれ、被害者がインターネットバンキングを行う時に、ウイルスによって先述のように別の口座に送金させられてしまう。
そこで今回、セキュアブレインはMITB型フィッシング撃退の対策ソフトを作成した。ゆうちょ銀行が採用し、顧客に無料でインストールできるようサービスを始めたという。MITB型のウイルスに感染しているかどうかを判断するとともに、銀行のウェブサイト画面自体が本物か偽物かも識別してくれるのだという。
以下はセキュアブレインの記者発表から。
■ゆうちょ銀行が、不正送金対策としてセキュアブレインの MITB攻撃対策を搭載した「PhishWallプレミアム」を採用、 8月19日よりサービス開始
http://www.securebrain.co.jp/about/news/2013/08/pwp-yucho.html インターネット・バンキングのユーザを狙ったMITB(マン・イン・ザ・ブラウザ)攻撃は、数年前より欧米を中心に被害が拡大していますが、昨年日本の金融機関のユーザがMITB攻撃により、不正に預金を送金されるという事件を受け、各金融機関は、MITB攻撃対策が急務な事案になっています。MITB攻撃は、PCに感染したウイルスが、インターネット・バンキングサイトへアクセスした際に通信をハッキングし、偽のポップアップ画面を表示します。偽のポップアップ画面は、正規のサイト上で表示されるため、偽物と見抜くことが困難です。
従来のインターネットを利用した情報詐取対策は、偽のウェブサイトに誘導する手口のため、正規サーバか偽サーバかを判定できることが重要でした。しかし、MITB攻撃はサーバ側でなくPC側への攻撃であるため、これからの情報詐取対策は、サーバ側とPC側の両方に問題がないことを確認することが重要になりました。
「PhishWallプレミアム」は、偽サイト誘導対策とMITB攻撃対策の両方に対応したフィッシング対策ソリューションです。PhishWallクライアントをインストールしたPCが、「PhishWallプレミアム」導入企業のウェブサイトにアクセスした時に、ブラウザに緑のシグナルを点灯させることで、ひと目でアクセスしているウェブサイトが本物であることが確認できます。また、真正なサイトの認証と同時に、PCがMITB攻撃型ウイルスに感染していないかをチェックします。感染の徴候を検知した場合は、警告メッセージを表示して不正な画面への入力を防ぎます。さらに、検知したMITB攻撃型ウイルスを無効化する機能が搭載されています。PCがMITB攻撃型ウイルスに感染している場合でもウイルスを無効化することで、MITB攻撃を受ける危険な状態を回避することができます。
http://www.securebrain.co.jp/about/news/index.html
■ウィキペディア MITB
http://en.wikipedia.org/wiki/Man-in-the-browser ’a form of Internet threat related to man-in-the-middle (MITM), is a proxy Trojan horse[1] that infects a web browser by taking advantage of vulnerabilities in browser security to modify web pages, modify transaction content or insert additional transactions, all in a completely covert fashion invisible to both the user and host web application.’
|