昨今のサイバー攻撃の多くが金銭目的となっており、特にオンラインバンキングを乗っ取り不正送金を行う「バンキングマルウェア」は非常に危険です。また、新たなバンキングマルウェアの検出が2017年後半から急増しています。たとえば企業の給与部門のPCが感染した場合は、甚大な被害が発生する可能性があります。ここでは猛威をふるうバンキングマルウェアの感染経路から対策のポイントまで解説します。
目次
1. 猛威を振るいはじめたバンキングマルウェア
1-1 バンキングマルウェアとは
バンキングマルウェアは、文字通りにユーザーのオンラインバンキング利用を狙ったマルウェアです。主にメールやWebアクセスにより感染しますが、ホームページ上に表示される広告に悪意のあるコンテンツを埋め込む「マルバタイジング」(マルウェアの拡散などの悪意ある仕掛けが組み込まれているオンライン広告)による感染も報告されています。ユーザーの取引操作を乗っ取り、好きな銀行口座に振込を行えるため、サイバー犯罪者に重宝されているといえます。以前も流行しましたが、2017年後半から急増し、個人だけでなく企業の被害報告もあるため、注意喚起していきたい問題です。
1-2 インターネットバンキングに係る不正送金
警察庁の発表では、インターネットバンキング口座からの不正送金被害は平成27年に件数で1,495件、金額で約30.7億円に達しています。その後、大口の法人口座被害の減少等により、被害総額は減少したものの、数年前に比べると引き続き高い水準にあります。
【インターネットバンキングに係る不正送金事犯の発生件数の推移】
【インターネットバンキングに係る不正送金事犯の発生件数の推移】
※被害額:犯人が送金処理を行った全ての額、実被害額:「被害額」から金融機関が不正送金を阻止した額を差し引いた実質的な被害額
※出典:「平成28年におけるサイバー空間の脅威の情勢等について – 警察庁」
2. 感染経路と手口
2-1 きっかけはメールやWebアクセス
バンキングマルウェアは、一般的なマルウェアと同様に、主にメールやWebアクセスにより感染します。特に、スパムメールでの感染事例が多く「ばらまき型」のマルウェアといえます。また、Webページの広告枠に悪意あるコンテンツを表示する「マルバタイジング」による感染も報告されています。感染してもすぐに動作せず、ユーザーがオンラインバンキングを開始するのを待つことも特徴です。基本的に、一般的なウイルス対策ソフトでも対策は可能ですが、件名や差出人、添付ファイル名などを詐称するため、システム的な対策が難しくなっています。
2-2 主にPCの脆弱性を悪用して感染
バンキングマルウェアの多くは、メールの添付ファイルを開いたり、本文にあるURLリンクをクリックすることで誘導されるWebサイトにアクセスすることで感染します。また、この際に感染するのはダウンローダーと呼ばれるマルウェアで、感染するとPCにバックドアを開き、さまざまなマルウェアをダウンロードします。感染は、PCで使用しているソフトウェアの脆弱性を悪用するものが多く、添付ファイルやWebサイトは問題なく表示されるのですが、その裏で感染活動が進んでいきます。脆弱性は次々に発見されるため、パッチマネジメントが複雑で適用が難しいことも一因になっています。
2-3 オンラインバンキング操作を乗っ取る
バンキングマルウェアには、多くの種類が確認されています。日本でも「DreamBot」や「Game Over Zeus(Gozi)」など、多くの被害が発生しています。その手法はさまざまで、ユーザーがオンラインバンキングを始めるタイミングに合わせて、オンラインバンキングのログイン情報を盗み出すほか、ブラウザ上に偽の画面をかぶせて表示させたり、ユーザーが操作した内容を変更したりして不正送金を行います。急激に検知数が増加している「Trickbot」は、表示画面に第2パスワードや乱数表の内容を入力させる画面を表示したり、画面上はユーザーの操作が反映されても、その裏で別の口座に金額を変更して送金したりします。ユーザーが気づきにくいため、早期発見が重要です。
3. バンキングマルウェア対策3つのポイント
バンキングマルウェアも、他のマルウェアと同様にメールやWebアクセスによって感染します。特にバンキングマルウェアはメール内のURLリンクのクリックで感染するケースが多いため、添付ファイルのチェックだけでは防げない可能性があります。また、感染に気づきにくく、オンラインバンキングのタイミングで活動するので、普段から注意が必要です。対策のポイントとしては、バンキングマルウェアを検知すること、システムの脆弱性をなくすこと、オンラインバンキング利用時に注意することが挙げられます。
3-1 バンキングマルウェアを検知する
バンキングマルウェアは、基本的にセキュリティ対策ソフトで検知することができます。ただし、添付ファイルよりもWebアクセスにより感染するケースが多いため、特にWebアクセス時の対策が重要です。また、きっかけはフィッシングメールやスパムメールですので、メールの差出人や、本文に自分に関する情報があるかどうかを確認するとともに、念のため差出人となる会社やサービスのWebサイトを検索やブックマークからアクセスし、同じ情報があるかどうかを確認しましょう。
3-2 システムの脆弱性をなくす
Webサイトへのアクセスでマルウェアに感染するケースは、アクセスしたPCに存在する脆弱性を悪用しています。一見しただけでは普通のWebサイトでも、そのページに脆弱性を悪用するためのコードが記述されており、脆弱性があるとそのコードを実行してしまいます。これによりマルウェアに感染しますが、その際もユーザーに気づかれないように動作します。特に利用者の多いマイクロソフトの「Office」や、アドビ社の「AdobeFlash Player」「Adobe Reader」、オラクル社の「Java」などの脆弱性が悪用されやすい傾向があるので、普段からアップデートをすぐに適用するよう意識しましょう。
3-3 オンラインバンキング利用時に注意する
バンキングマルウェアは、普段は潜伏していて、ユーザーがオンラインバンキングの利用を検知して動作します。バンキングマルウェアには、ログイン情報だけを盗むものと、ユーザーの操作を乗っ取って不正送金まで行うものがあります。前者の場合は、ログイン画面に本来は不要な第2パスワードや乱数表などの入力画面が追加されるので、通常のログイン画面を覚えておくようにします。後者の場合は、入力した金額や送金先まで裏で変更されてしまい、送金結果もユーザーが入力したものが表示されます。非常に気づきにくいので、たとえばスマートフォンで銀行の入出金履歴を確認するなどの対応が必要です。
4. 怪しいメールに気づくなど日常的な意識が重要
バンキングマルウェア対策は、「怪しいメールに気づくこと」「システムの脆弱性をなくすこと」「Webアクセス対策を行うこと」が挙げられます。基本的にはセキュリティ対策ソフトとWebフィルタリングによる対策ですが、普段から銀行のログイン画面を確認したり、入出金履歴をチェックするなどの注意が必要です。
添付ファイルとしてPCに入ってくるバンキングマルウェアは、セキュリティ対策ソフトでほぼ防ぐことができます。問題 は、メールの本文にURLリンクがある場合の対策です。最近のフィッシングメールやスパムメールは巧妙になってきて おり、日本語としておかしいところもほとんどなく、また銀行などのサービスで使用されるHTMLメールと見た目も変わりません。多くの場合、こうしたメールには受信者の名前が文頭にあるので、それがあるかどうかを確認しましょう。 HTMLメールではなく、テキスト表示に切り替えてみることもひとつの方法です。
5. まとめ
テクノロジーの進化と共に便利になっていく一方で、進化を悪用する攻撃者も存在します。オンライン決済は非常に便利な仕組みですが、金銭目的のサイバー犯罪者による攻撃のリスクを常に抱えています。手軽さに慣れて、危機管理の手間を省くことのないように、日ごろからセキュリティに対する意識を高めておきましょう。
著者:マカフィー株式会社 マーケティング本部