前に「二段階認証の穴を突いたフィッシング詐欺」の記事を書きましたが、それでは「ワンタイムパスワード」を使っていれば絶対に安全なのでしょうか?
今回はこれについて考えてみたいと思います。
1.ワンタイムパスワード
「ワンタイムパスワード」とは、「利用者の本人確認などに用いる秘密の文字列(パスワード)に、短時間のみ有効なその場限りの文字列を生成して用いる方式」のことです。
ワンタイムパスワードは、一定時間ごとに自動的に新しいパスワードに変更され、しかも一度しか使うことができないパスワードです。
このようにワンタイムパスワードはそのたびにランダムに更新されるため、第三者による推測が不可能で、情報漏洩や盗聴があっても不正ログインを阻止できると期待されています。
現在、インターネットバンキングで使用されるパスワードに、「ワンタイムパスワード」を推奨・導入する金融機関が増えてきました。また、振り込みなどには「ワンタイムパスワード」が必要なところが多くなっています。
2.「Dream Bot」の脅威
(1)不正送金マルウェア
このように見てくると、ワンタイムパスワードは「完璧なセキュリティ対策」と思いがちですが、必ずしもそうではないようです。
「Dream Bot」とは、「不正送金マルウェア」の一種で、「インターネットバンキングやクレジットカードの認証情報を所有者が気付かぬように盗み出す悪意あるソフトウェア(スパイウェア)」です。
「不正送金マルウェア」には次のような機能があります。
①偽のクレジットカード入力画面を表示し、カード番号を入力させてカード情報を取得するフィッシング
②金融機関にアクセスした際の認証情報(IDとパスワード)を利用しての不正送金
③利用者のキーボードの入力を記録するキーロガー
(2)GOZI
2016年には、「GOZI」と呼ばれる「不正送金マルウェア」が猛威を振るいました。
GOZIは、金融機関へのログイン情報を取得する機能だけでなく、フィッシング用のページを表示したり、入力したキー情報を記録したり、スクリーンショットを取得することができました。
「感染経路」は、①メールの添付ファイルや、メールに記載されたURLを踏む、②改ざんされたウェブサイトへのアクセスです。
(3)Dream Bot
「Dream Bot」は「GOZI」の後継に当たるマルウェアで、2016年12月から「感染」が報告され、2017年1月には実際の被害が発生しています。
Dream Botには、GOZIの機能に加えて、フィッシングのような形で金融機関のワンタイムパスワードを入力させて、自動送金させる機能もあるということです。
「感染経路」はGOZIと同じで、①メールの添付ファイルや、メールに記載されたURLを踏む、②改ざんされたウェブサイトへのアクセスです。
Dream Botの場合はほとんどがメールの添付ファイルだそうです。その添付ファイルに記載されたURLを開いて、利用者がインターネットバンキングにログインした際に、「セキュリティ上の理由」等を装うニセ画面を表示させ、ワンタイムパスワードを窃取して不正な振込を実行する「自動送金機能」を有するものがあり、警視庁も注意喚起しています。
JC3(一般財団法人日本サイバー犯罪対策センター)でも、「Dream Bot」の感染および被害の発生を確認しており、不正送金などのサイバー犯罪の被害にあわないよう注意を呼び掛けています。
皆さんも十分ご注意ください。
3.ユーザーが取るべき対策
(1)「ウィルス対策ソフト」を導入し、パターンファイルを常に最新の状態に更新する
(2)「基本ソフト」(OS)や「ウェブブラウザ」などの各ソフトウェアを常に最新の状態に更新する
(3)あらかじめ、利用している金融機関が公表しているインターネットバンキングの手続きを確認しておき、インターネットバンキングにアクセスした際に、確認した正規の手続きと異なる入力画面などが表示された場合には、ID・パスワード等を入力しない
(4)ワンタイムパスワードや二段階認証等、利用している金融機関が推奨しているインターネットバンキング等の不正送金対策を導入する
(5)意図しないログイン履歴がないか、自分の口座の入出金明細等を定期的に確認する