2014年上半期、インターネットバンキングにログインするとウイルスが不正な振り込みを行うMITB攻撃が国内で初めて確認される 21
ストーリー by headless
攻撃 部門より
攻撃 部門より
あるAnonymous Coward のタレこみより。警察庁は11日、今年上半期のサイバー犯罪・サイバー攻撃などの情勢を発表した。インターネットバンキングの不正送金額は上半期だけで既に昨年の総被害額を上回っており、パソコンに感染したウイルスが不正な振り込みを行うMITB(Man In The Browser)攻撃という手口が国内で初めて確認されたそうだ(平成26年上半期のサイバー空間をめぐる脅威の情勢について: PDF、
INTERNET Watchの記事、
日本経済新聞の記事)。
MITB攻撃はユーザーによるインターネットバンキングへのログインをウイルスが検知し、自動的に不正送金を実行するというもの。海外では以前から被害が発生していたが、国内でも被害の発生が明らかになったという。インターネットバンキングにおける不正送金被害は昨年、過去最大の約14億600万円を記録したが、今年上半期の被害額は既に約18億5,200万円となっている。背景としては法人名義口座での被害が増加していることや、地域金融機関に被害が拡大していることが挙げられるとのことだ。
(続く...)
MITB攻撃はユーザーによるインターネットバンキングへのログインをウイルスが検知し、自動的に不正送金を実行するというもの。海外では以前から被害が発生していたが、国内でも被害の発生が明らかになったという。インターネットバンキングにおける不正送金被害は昨年、過去最大の約14億600万円を記録したが、今年上半期の被害額は既に約18億5,200万円となっている。背景としては法人名義口座での被害が増加していることや、地域金融機関に被害が拡大していることが挙げられるとのことだ。
(続く...)
このほかのサイバー犯罪でも手口は悪質・巧妙化しており、標的型メール攻撃では対象を絞り込んだ攻撃やWindowsのショートカットを添付したメールによる攻撃が増加。無償ソフトウェアの更新機能を悪用して不正プログラムに感染させるといった手口も今年に入って新たに確認されている(過去記事)。/.Jでも繰り返しストーリーになっているが、WebサービスのID・パスワード使いまわしに着目した不正ログイン攻撃など、インターネットの利用が浸透するに伴って犯罪に巻き込まれるリスクも増加しているとのこと。また、3Dプリンターや仮想通貨などの新たな技術やサービスの登場は社会的利益をもたらす一方で、犯罪に悪用される危険性もあるとしている。
数年遅れの日本! トランザクション署名に対応する時が来た! (スコア:3)
他の金融先進国では、西暦2000年頃からトランザクション署名付きのトークンが使われています。振込の際には、トークンに振込先の口座番号を入力する必要があるので、トークンに詐欺師の口座番号を入力しない限り、不正振込がされない仕組みです。
現状日本は、ゆうちょ銀行のトークン [japanpost.jp] も 三井住友銀行のワンタイムパスワード [smbc.co.jp] も、トランザクション署名対応のVASCO(バスコ)のDIGIPASSトークン [vasco.co.jp]なのに、インターネットバンキングのシステム(Webサイト)がそれに対応していない為、使えないという大変残念な状態です。
あとは、Webサイト側がトランザクション署名に対応させれば、MITB(Man In The Browser) は完全に防ぐことが可能です。
日本国内で MITB 攻撃が発生した今、ネットバンキングのシステムをトランザクション署名に対応させるべきです。
訂正 (スコア:2)
西暦2000年頃から
↓
西暦2010年頃から
Re:数年遅れの日本! トランザクション署名に対応する時が来た! (スコア:1)
高木浩光先生のこれ [atmarkit.co.jp]とかですね。
普及までにはどうしても時間がかかるでしょうから、その間のつなぎにはCD/USBブートのLinuxでも使えないかなぁ、とか妄想しています。各銀行が純正のウイルスフリーCDを配ってとか。でも一般ピープルにはPCの起動デバイスの指定はきっと無理…。
Jubilee
Re: (スコア:0)
このデバイス、どうやってMITBを防ぐのでしょう? 表示後に改竄されたら終わりのような?
Re: (スコア:0)
元ACではないけれど、LiveCDなんでシステムが基本的に読み取り専用。起動直後はいつもクリーン。
起動して即銀行のサイトにアクセスすればよい。
MITBはマルウェアによってもたらされるので余計なサイト見なければ大丈夫ということだろうね。
銀行のサイト自体が改ざんされるのはMITBよりひどい状況なので対象外(MITB不正でもサイトがダメになってるんだから意味ない)。
銀行を騙ってディスクを配布されたり、起動後~銀行のサイトみるまでに感染したり、そもそも配布したイメージが古くなってセキュアじゃない状態となったらどうするかとか、気にしないといけないことはいろいろあるとは思うけどね。
Re: (スコア:0)
リンクリンク
Re: (スコア:0)
TANで十分防げると思うのですが...駄目なんかな??
http://en.wikipedia.org/wiki/Transaction_authentication_number [wikipedia.org]
Re: (スコア:0)
サイバー攻撃不正行為が深刻の中国国内では、殆どの金融機関では、4、5年前からMITB対策に取り込んています。
現在、中国国内の200以上の金融機関では、トランザクション署名対応のOCRAトークン及び液晶画面付きのUSBトークン、及びWebサイト側でトランザクション署名の仕組みでMITB(Man In The Browser) 対策を採用しています。
WorldWideから見ると、日本の金融機関のインターネットバンキングのセキュリティ対策が数年遅れています。
Re: (スコア:0)
そもそもの取引を専用ハードウェアでってとこまではいかないのかな。コスト的に無理?
MITBでWebページ改ざんできる状況でトークンってどこまで有効なの?チャレンジアンドレスポンスならチャレンジが書き換えられる状況なわけだけど。
Re:数年遅れの日本! トランザクション署名に対応する時が来た! (スコア:1)
ラズパイCompute Module程度のコアに安物電子辞書程度のモノクロディスプレイとテンキー付きキーボードを組み合わせたら、5000円かそこらでできませんかねぇ。オンラインバンキング専用の常時SSL端末。ファームの書き換えは銀行窓口限定でPCにはつながない。何行かアライアンスを組めばいけそうな気もしますが。
Jubilee
Re: (スコア:0)
三井住友銀行のはこっちですね。
http://www.smbc.co.jp/kojin/direct/passca/index.html [smbc.co.jp]
使わないですむならそれが最善 (スコア:0)
最近、個人名義口座のインターネットバンキングのアカウントを削除しました。
仕事ならともかく、個人が差し迫った必要もないのにインターネットバンキングに手を出すものじゃないですね。
Re:使わないですむならそれが最善 (スコア:2)
「宵越しの銭は持たない」
という生き方が最強でしょう。
Re: (スコア:0)
先日「グランド・イリュージョン」という映画を見たんだけど、大規模なマジックショーでのトリックで、罠にはめられた人物の口座から大金が盗まれ、
観客全員のそれぞれの口座に振り分けて入金されるというシーンがあった。
で、入金が始まると、観客の携帯電話が次々に鳴り出し、端末を見ると入金通知が表示されているんだわ。
「欧米のモバイルバンキング普及率はんぱねぇw」と思った。
Re:使わないですむならそれが最善 (スコア:1)
Re: (スコア:0, おもしろおかしい)
いや、映画って作り話なんだけど・・・
Re: (スコア:0)
いや、映画って作り話なんだけど・・・
そういう描写が不自然と感じられないからこそ、映画に登場するのでしょうね。
Re: (スコア:0)
わたしゃ宇宙人絡みかと思ったよ
#それはMIB
Re: (スコア:0)
必要な額だけ入れておく口座を作れば有用でしょう。
個人口座は補償もあるわけですから。
Re:使わないですむならそれが最善 (スコア:1)
そこで、かなり低めの金額を設定していたわけです。まあ、大金を使う時は、それなりの時なので、銀行まで出かけていけば良いかと。
それが、「利便性の確保」のために、オンラインでも、上限金額が変更できるように、「改善(?)」されまして、ちょっと、抗議した記憶があったりします。
一応、今でも、かなり低めの金額を設定してはいますが。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Man In The Browser (スコア:0)
ブラウザの中には小人さんがいてだな......
#小人さんの欠点は計算を間違える事くらいなのだ