自動化、効率化進むサイバー金融詐欺、マカフィーが解説:不正処理もサーバサイドに?
マカフィーは12月18日、不正なポップアップ画面や「SpyEye」や「Zeus」といったマルウェアを用いたサイバー金融詐欺の現状に関する説明会を開催した。
マカフィーは12月18日、不正なポップアップ画面や「SpyEye」や「Zeus」といったマルウェアを用いたサイバー金融詐欺の現状に関する説明会を開催した。
米マカフィーのテクニカル・ソリューションズ ディレクター ブルース・スネル氏は、こうした金融詐欺に使われる手法は「攻撃のたびにカスタマイズされており、既存のセキュリティ製品では検知できないよう巧妙化、高度化が進んでいる。その数も、マカフィーのデータベースへの登録件数は1億を超えるほど増加している」と指摘。攻撃の深刻さが増していると警告した。
マカフィーのサイバー戦略室兼グローバル・ガバメント・リレイションズ 室長 本橋裕次氏によると、サイバー金融詐欺の手法は、当初の「キーロガー」から徐々に進化しているという。
日本では2012年後半、金融機関のWebサイトにアクセスすると偽のポップアップ画面を表示し、ユーザーIDやパスワードなどの情報を盗み取る「Webインジェクション」という手口による被害が複数報告された。「無料のウイルス対策ソフトウェア」といった宣伝文句でユーザーをだましてマルウェアをインストールさせ、そのマルウェアが偽のポップアップ画面を表示させて情報を外部に送信する。攻撃者はこうして得た情報を用いて、手動で金銭を詐取するという手法だ。
一方海外では、攻撃のさらなる「効率化」を求め、自動化が進んでいるという。
2012年初めにヨーロッパで始まった大規模な金融詐欺、「Operation High Roller」では、「Man-in-the-Browser(MITB)攻撃」という手法が使われた。銀行などのサイトにアクセスすると、表ではそれに応じた画面を表示させつつ、バックグラウンドでマルウェアがさまざまな不正な処理を行うというものだ。通信内容を改ざんし、画面の一部を書き換えてフォームを追加しユーザーの入力を促したり、「処理中」と偽のページを表示しておいて、攻撃者が用意した口座に勝手に振り込みを行ってしまったりする。
二要素認証などを採用していても、MITB攻撃への対策は難しい。また「中には、検索で見つけ出した文面をコピーし、『処理が完了しました』という銀行からのメール通知を送って隠蔽を図るケースもあり、ユーザーはなかなか気付きにくい」(スネル氏)。
スネル氏によると、さらに「Automated Transaction Server(サーバサイド自動不正送金)」という手法が登場しているという。偽の画面を表示させるところまではクライアント側で実行するものの、それ以降の不正送金処理などはすべて、攻撃者のサーバ側で実行してしまうという方法で、攻撃のあくなき効率化を求めての「進化」だという。
スネル氏は、OSなどのセキュリティ対策が進化し、攻撃を食い止める手段が実装されるにつれて、好奇心や同情心をくすぐって「人」という脆弱性を狙うソーシャルエンジニアリングが使われるようになってきたと指摘。OSのアップデートやウイルス対策ソフトの導入と更新という基本的な対策を取るとともに、「何かをクリックする前に、一呼吸置いてよく考える癖をつけてほしい」と呼びかけた。
なお、最近はハクティビストによる攻撃も目立つようになった。中には、「企業から盗み出したクレジットカード情報」とされるデータがWebで公開されることもある。しかし「こうした行為が悪用される可能性もある。公開情報と称するサイトにユーザーを誘導し、自分のクレジットカード情報が含まれていないかどうか検索して確かめるためにCtrl+Fを押してブラウザに表示された偽の検索バーにカード番号を入力させ、情報を盗むケースもある」(スネル氏)ため、安易に「確認サイト」を信用しないよう注意が必要だという。
Copyright © ITmedia, Inc. All Rights Reserved.