ネット銀行の2段階認証を突破 不正送金の巧妙な手口

日経PC21

不正送金被害が9月以降に急増した。ワンタイムパスワードをフィッシング詐欺で不正に入手することで不正送金が行われる(データは警察庁調べ)
不正送金被害が9月以降に急増した。ワンタイムパスワードをフィッシング詐欺で不正に入手することで不正送金が行われる(データは警察庁調べ)

「ネットのアカウントは2段階認証を設定しておけば安全」というセキュリティーの「常識」を揺るがす事案が2019年に発生した。攻撃者によってネットバンキングの2段階認証を突破したとみられる不正送金が数多く確認されたからだ。

警察庁によると、11月の発生件数は573件、被害金額は7億7600万円といずれも過去最多だったという。銀行側も利用者に注意を呼びかけているが、今後も被害が増える可能性は極めて高い。

認証コードを盗む凶悪な手口

不正送金が増えた最大の要因は、ネットバンキングのIDとパスワードと一緒にワンタイムパスワード(認証コード)を盗むフィッシングの手口が登場したことだ。認証コードを盗まれてサインインされるとやりたい放題されてしまう。現時点ではネットバンキングを狙った攻撃が確認されているが、2段階認証を採用するすべてのサービスで攻撃を受ける恐れがある。

手口は下図の通り。攻撃者がメールやSMSのリンクから利用者を詐欺サイトに誘導し、IDとパスワードを入力させて盗み取る。厄介なのはこれらを使って攻撃者が正規サービスにアクセスすることで、正規の認証コードが利用者に届くことだ。利用者が信用して認証コードまで入力すると、これも攻撃者の手に渡ってしまう。

図は2段階認証を突破する詐欺の流れをまとめたもの。攻撃者からSMSやメールで詐欺メールが届き(1)、偽サイトに誘導されてIDとパスワードを入力すると盗み取られる(2~4)。攻撃者が盗んだ情報で正規サイトにサインインすると、認証コードがユーザーに届く(5、6)。これを偽サイトに入力してしまうと情報が攻撃者に渡り(7、8)、2段階認証を突破されてアカウントが自由に使われてしまう(9、10)

検証のために作られたデモサイトで手口を体験すると、その恐ろしさを改めて実感できた。リンクから詐欺サイトを開いた後は、通常の2段階認証プロセスと瓜二つで、1~2分程度のやり取りだけでアカウントが乗っ取られてしまう。裏で何が行われているか気付くことは不可能だ。

トレンドマイクロのデモサイトを例に、だましの手口を見ていこう。SMS のリンクからフィッシングサイトが開き、IDとパスワードの入力を促される。攻撃者側が裏で動いている間は、生年月日と電話番号の入力を求められたり、処理中を装って待たされたりする[注]
攻撃者がサインインを試みると、銀行から2段階認証の認証コードが記載されたSMSが届く。そのタイミングで偽サイト上でも認証コードの入力が求められ、入力すると認証コー ドが攻撃者に渡ってしまう[注]

大手だけでなく、地方銀行やネット銀行も標的

「狙われるのは大手都市銀行だけでは?」と思っていたら大間違い。最近では地方銀行やネット銀行を標的とした詐欺も見つかっており、攻撃対象が広がっている。ネットバンキングを使っているすべての利用者が被害に遭う可能性がある。

さらに巧妙化した手口も見つかっている。まず携帯電話事業者の偽サイトに誘導し、支払い方法の選択と称して一覧から普段使っているネットバンキングを選ばせる。これにより、各人が実際に使っているサービスの偽サイトに誘導するというものだ。

ネットバンキングを狙った詐欺は、特定の銀行名を装ったメールやSMSを送るのが主流であった
最近はSMSから携帯電話事業者を装った偽のサイトに誘導、普段から使っているネットバンキングを選ぶと、銀行偽サイトが開くタイプの詐欺が確認されている

この手の詐欺から身を守るには、SMSやメールなどのリンクから偽のサイトを開かないことに尽きる。ネットバンキングを利用するときは必ず登録しておいたブックマークから開く。スマホでは各銀行などが用意する専用アプリを使うとよい。

[注]トレンドマイクロが検証のために作成したデモサイトやSMSの画面。実際のサイトではなく公開もされていない。

[日経PC21 2020年4月号掲載記事を再構成]

MONO TRENDY連載記事一覧
注目記事
MONO TRENDY連載記事一覧