【ネットバンキングの脅威は引き続き…】

【ネットバンキングの脅威は引き続き…】
このエントリーをはてなブックマークに追加

本日も弊社の記事をご覧いただきましてありがとうございます。

フィッシングサイトが猛威を振るっている、弊社の記事を含めて色んなメディアが盛んに取り上げておりますが、そんな状況でも2019年の9月からフィッシングサイトによるものとみられる、不正送金被害が急増しています。

 

警察庁もホームページにて、その数字の甚大さと被害額について触れておりますので是非とも一度ご参照ください。

http://www.npa.go.jp/cyber/policy/caution1910.html

 

特に2019年11月の数字は平成24年以降で最悪の数字になっているらしく、これだけ世間が注意深くなっているにも関わらず攻撃が成功しているということは手口が巧妙化していると考えることができます。

9月から急増している所を鑑みると、この時期になって新しい手法が登場し、一気に消費者を欺こうとしていることが容易に読み取れます。

 

ネットバンキングが一般化してきたこのご時世だからこそ、改めてどういった手口があるのか、どういう対策が必要で、どのように普段の生活から気を付けていけばよいのか振り返ってみましょう。

 

手口①

一般的に多い手口が、フィッシングメールを送って偽のURLに誘導し、そのURLにユーザーのID/パスワードを入力させることによって、個人情報を抜き取るというものです。

 

少し前までは英語や中国語の件名や本文で一目で分かるようなものでしたが、最近のフィッシングメールは非常に言葉巧みに文章が作られていて、日本語であることはもちろん、「不審なIPアドレスからログイン履歴がある」など危険性を煽る言葉で攻撃者へのURLへ誘ってきます。また最近出てきた手口としては、「アンケートのお願い」という文言で商品券がもらえるといったような特典を用意して、ユーザーに安心感を覚えさせ偽のサイトへ誘導するという手口も出てきています。

 

銀行サイトからのメールは危険な文言も、優しそう文言も一旦は操作を止めて全て疑ってみるというのが、今すぐでもできる対策です。「本当に銀行からか?」という気持ちを持ってメールに記載してあるURLをクリックせずに、直接銀行サイトを検索して正規のサイトからログインすることによってフィッシングの被害は激減すると思います。

そして、機械的な対策としてインターネットの出入り口部分でセキュリティ対策を施すことも忘れてはいけません。先ほどお伝えしたように、非常に目で見ただけでは本物か偽物か判断しづらいようなメールになっていますので、思い切って属人的な対策からは脱却して機械に頼るというのもセキュリティ対策では必要な部分です。普段の業務をしている中で、サイバー攻撃にも気を配りながら仕事をするというのも生産的であるとは言い難いと思います。

売上を上げたり、社内の数字を管理していくのに必要な時間をしっかりと本業に充てる為にも投資としてセキュリティ対策は必要であると言えます。出入り口にセキュリティ対策をすることによって、メールがパソコンに届く前にブロックしてくれたり、受信するとしても「怪しいな」とフラグを立てた状態でメール受信させたりすることも可能です。

このような機械的対策と、人の目で見て最終的にチェックする二重の対策によって、ネットワークセキュリティは強固にすることができるのでどちらも怠らないようにしていきましょう。

 

手口②

次に挙げる手口は、これまで安全と言われていた「ワンタイムパスワード」を突破することができる非常に厄介なものです。

ワンタイムパスワードとは、ログインするたびに変わるパスワードのことで、ログインするユーザーは都度そのパスワードを取得することによって普段のログインするためのパスワードが万が一盗まれたとしても、第三者からの不正侵入は防ぐことができるというものです。どこかのサイトにログインするのにSMS認証を求められることが増えましたが、あれも一種のワンタイムパスワードと言えますね。多くの方から「ワンタイムパスワード使っているから大丈夫でしょ?」という声を聴きますが、その安全神話が既に崩れ去っているということはご存じでしょうか。

 

昨年の2019年に海外のセキュリティ専門家が「Modlishka(モディスカ)」というツールを発表しました。中間者攻撃の一種で、ユーザーが普段通りサイトを閲覧してログイン情報を入力していたとしても、それは既に別のサイトに書き換えられていて、ユーザーが本物と思ってログインした(ログインしているサイトも本物ですが)情報がそのまま第三者に抜き取られてしまうという手口です。したがってワンタイムパスワードを入力した情報も攻撃者に盗まれてしまうので、ログインしたすぐ後に第三者の攻撃が始まってしまい、大胆にも預金口座からお金を抜き取ってしまうという手口です。

 

ユーザーは本物のウェブサイトにアクセスしているのに、被害に遭ってしまうというのがこの手口の大きな特徴です。正規の通信をしているところに割り込んで情報を抜き取ってくるので見抜きが非常に困難とも言われています。セキュリティ対策が「いたちごっこ」や「攻撃者先行」とはよく言われますがまさにそれを表した状態だなと思っています。

これまで安全だと言われたワンタイムパスワードや先に触れたSMS認証も、日を追うごとに攻撃者側も知恵と技術をつけて私たちに忍び寄ってきます。

 

この中間者攻撃については、正式な電子証明書を発行しているところからのサイトについてのみログインしたり使用したりすることが挙げられますが、この電子証明書自体が発行元が不正アクセスを受けて不正なものとなっている可能性もありますので、そうするとユーザーとしてできる対策にも限界がありますが、どこでユーザーにとって不利益となるウイルスやマルウェアを拾ってくるかもわからないのでやはり手口①で述べたと同様に、インターネット出入り口部分でのセキュリティ対策は必要と言えるでしょう。インターネットを閲覧する際にも怪しい、危険なサイトへ訪問する前に接続を止めることができるので悪質なファイルを拾ってこないようにするという意味では有効な対策と言えるでしょう。

 

大きな手口について2つ述べさせて頂きましたが、今後もこのような攻撃はしばらくは終わることはないと思います。自分自身も「こういう被害に遭っている人がいるんだなぁ」とどこか他人事として考えてしまう瞬間がありますが、こういう人ほど新たな手口に引っかかってしまい、冒頭で触れたような過去最悪の被害額を伸ばしてしまう結果に繋がるのだと思います。

また攻撃者が攻撃に成功し続ける限り手口は終わることは無いでしょうし、インターネットバンキングなるものが存在し続ける限り、それを突破するための技術も並行して築き上げられていくはずです。ドラマや漫画で銀行強盗のシーンを昔はよく見ましたが、最近はあまり見なくなりましたね。現実世界でも銀行強盗をするよりも、インターネット上で強盗する(不正送金をする)方がリスクも低く、確実性もあり、大きな金額を得る可能性も高いのでその選択をする犯罪者も増えているのです。

 

日常生活を営んでいく上で様々なものが様々な場所でインターネットにつながるようになり、多くの方がスマホを持つような時代になったことでより便利さが向上すると同時に、ネットバンキング被害のようなリスクも負うようになったので、便利なものを使いたいのであれば、ある程度の金銭と時間の投資をかけて自分たちの安全を守っていく意識は必要だと思います。

 

 

 

このエントリーをはてなブックマークに追加

コラム

対策事例

小冊子ダウンロード

Contact

お気軽にお問い合わせください

お気軽にお問い合わせください
無料オフィスセキュリティ診断