ブログ

FFRI BLOG

2012-11-13 インターネットバンキングを狙った攻撃について

技術戦略室の川崎です。


2012年10月下旬以降、複数の金融機関のWebサイトで、(正規のWebサイトにログイン後、)認証情報の搾取を目的とした不正ポップアップが表示される事件が発生しています。


このBLOG記事を執筆している2012年11月12日現在、不正ポップアップ等の偽画面の表示が確認された金融機関は、三菱東京UFJ銀行、三井住友銀行、みずほ銀行、ゆうちょ銀行、楽天銀行、住信SBIネット銀行、三菱UFJニコス、三菱UFJモルガン・スタンレー証券の計8組織です。警察庁によると、ゆうちょ、三井住友、三菱東京UFJの3行では11月1日までに229件の不正画面の表示があり、うち196件で顧客が暗証番号などを入力していたとのことです。


報道ベースの情報からの簡単な分析になりますが、三菱東京UFJ銀行の例を取り上げてみたいと思います。

ransuu_mihon

出所:http://www.bk.mufg.jp/info/phishing/ransuu.html


三菱東京UFJ銀行の場合、上記の不正なポップアップ(「×」と吹き出しは、三菱東京UFJ銀行による注意喚起のための加工)が表示され、オンラインバンキングサービスを利用する際に必要となる「乱数表」のデータ入力を促しています。よく見ると、薄い赤でハイライトされたメッセージ部分「異常検出しました。安全のため・・・」の日本語に若干違和感を感じます。11月2日には日本経済新聞の報道で、送金先の口座名義人である日本人男性が犯罪収益移転防止法違反の容疑で逮捕され、「知人の中国人に口座を譲渡した」などと供述したとされており、外国籍のグループが不正送金に関与した可能性が調査されています。


背景のグレーアウトされた画面はID・パスワードを入力したログイン後の画面ですが、今回のケースの場合、ユーザーが正規のWebサイトに自分の意志でログインした後に不正なポップアップが表示されており、Webアプリケーションの脆弱性等ではなく、マルウェアによるHTMLインジェクションである可能性が高いと考えています。


いわゆるMITB(Man-in-the-Browser)攻撃と呼ばれているものの一種です。MITB攻撃という言葉は、あまりなじみがないかもしれませんが、数年前から一部のセキュリティベンダーから危険性が訴えられており、その名のとおり、ブラウザの中にあたかも攻撃者が存在するかのように、ブラウザの中にマルウェアが入り込んで、様々な悪事を働きます。例えば、今回のようにHTMLインジェクションによる偽画面を表示して第2暗証番号や秘密の質問などの機密情報を盗み出したり、振込処理の際にブラウザ上の画面を書き換えてユーザーが意図した送金先とは別の口座に不正送金を行うといったものがあります。


数年前までインターネットバンキングを狙った攻撃は、フィッシングやファーミングによる偽サイトへの誘導からID・パスワードを搾取する手法が主流でしたが、ワンタイムパスワードや二要素認証、サーバ証明書のような認証技術が強化されるにつれて、マルウェアによる攻撃が主流となりつつあります。


元々、MITB攻撃はこれらの認証技術を回避する目的で編み出された攻撃手法です。特徴としては、正規のサイトにユーザーがログインすると、MITBマルウェアがそのユーザーによる正規のセッションに便乗して適当なタイミングで今回のように偽画面を挿入して認証情報などを盗み出したり、送金先をブラウザ上で不正に書き換えてしまいます。確認画面なども書き換えられてしまうのでユーザーも気づきませんし、金融機関側も正規のユーザーからのセッションにしか見えないため、非常に気付きにくい攻撃といえます。



今回の事件が明るみに出てから、セキュリティベンダー各社から様々な見解が発表されています。基本的には、マルウェアによるものということで一致していますが、その中でもMITM(Man-in-the-Middle)攻撃(中間者攻撃)やMITB(Man-in-the-Browser)攻撃という言い方をしている場合があり、一部誤解を招く部分でもあるため、この場を借りて見解を整理させていただきます。


まず、話を簡単にするために、アタックベクタをユーザー、ブラウザ、OS、ネットワーク、サーバとし、その中で行われるデータのやり取りを伝言ゲームに例えると、伝言ゲームのどこかに割り込む行為はMITMといえるかと思います。つまり、伝言ゲームの経路上において伝言を盗聴・改ざんする行為です。また、割り込んだ後の攻撃自体は一連のセッション(割り込んだ同じ伝言列)の中で行われるという特徴があります。


一方で、MITBは伝言ゲームの特定の場所(ブラウザ)に介入するものですが、同じ伝言列上で攻撃が行われる「MITM的なMITB攻撃」と、別の伝言列上で攻撃が行われる「MITM的でないMITB攻撃」があると整理します。マルウェアがブラウザに干渉するタイプの攻撃をすべてMITB攻撃とするのはいささか乱暴かもしれませんが、今回の事件はポップアップに入力された情報を使って別途なりすましを行うものですので、後者の「MITM的でないMITB攻撃」という見方ができるかと思います。


MITMとMITBの違い


いずれにしても、今回の事件が大きく報道され、ユーザーのセキュリティリテラシーが向上することで、今後はアカウント情報の搾取だけでなく、不正送金までマルウェアが自動実行する、より洗練されたMITB攻撃が日本で発生するのも時間の問題なのではないかと思います。海外では既にMITB攻撃の手法を使った大規模な金融詐欺事件の事例もありますし、もしかすると、日本では現時点で表面化していないだけなのかもしれません。


MITB攻撃に対抗する手段は、既に幾つか存在しますが、FFRIでは今までにないコンセプトでMITB攻撃を防御する製品を近日中にリリースいたします。