二要素認証でも不正アクセス!?ネットバンキングの不正送金被害について
公開:2020年2月10日
目次
1. ネットバンキングの不正送金被害とは
近年インターネットを利用して銀行への振り込みや残高照会などの取引きができる「ネットバンキング」が悪用され、不正送金される被害が急増しております。
警視庁の報告によると、ここ最近では大きな変動がなかった不正送金被害件数および被害額が2019年9月から急増し、過去最悪の水準になっており、その手口の多くがSMS(ショートメッセージ)による偽サイトへの誘導によるものとみられています。
元々ネットバンキングを悪用する被害は、2014年から2015年にかけて年間30億円を超える規模で発生しておりました。しかし、通常のパスワード認証だけではなく、生体認証やワンタイムパスワードといった複数の要素を組み合わせて認証を行う二要素認証の導入や利用者への注意喚起などの対策が実施されたことで、以降の被害は減少しておりました。
二要素認証によるセキュリティ対策を行っている場合、万が一パスワードが窃取されたとしても、人間の身体的特徴を使う生体認証や、定期的に変動する値を使うワンタイムパスワード認証など、追加要素による認証を成功させる必要があるため、セキュリティ対策として有効でした。今回、被害が急増している理由として、この追加の認証を破る新たな手口が明らかになりました。
2. 二要素認証も危ない!?攻撃者の新たな手口とは
今回の被害が発生している内容の一例を紹介します。
- 攻撃者は、被害者の携帯電話に、正規サイトに似せた偽サイトのURLをSMSで通知します。その際、偽サイトに誘導するために、セキュリティの不安をあおる内容などを記載します。
- 被害者は、SMSに記載されているURLにアクセスし、偽のネットバンキングサイトにログインするためにIDやパスワードなどのアカウント情報を入力します。
- 攻撃者は、被害者が入力したアカウント情報を正規のネットバンキングサイトに入力します。
- 会員ページへログインするための追加要素の認証や送金処理の際に、正規のネットバンキングサイトから被害者にワンタイムパスワードが送信されます。
- 偽のネットバンキングにワンタイムパスワードの入力画面を表示させることで、被害者はワンタイムパスワードを入力します。
- 攻撃者は、被害者が入力したワンタイムパスワードを正規のネットバンキングサイトに入力することで、被害者の会員ページへのログインや送金処理を実施することができます。
このようにして、二要素認証によるセキュリティ対策を行っている場合でも不正送金の実施が可能となっています。
3. 見分けることが難しくなってきた偽サイト
また、近年下記のような偽サイトも発生していることから、正規サイトと偽サイトを見分けるポイントが難しくなってきており、被害が急増している一因となっています。
3.1 HTTPSに対応した偽サイト
HTTPSのサイトの場合、Webブラウザのアドレスバーに表示された緑色の鍵のアイコンが表示されるため、正規サイトとして判断してしまいがちですが、HTTPSのサイトだからと言って正規のサイトであるとは限りません。
近年、HTTPSで利用するSSLサーバー証明書を無料で発行できるサービスが誕生したことから、
Web作成者の間でHTTPSの利用が広がり、その結果として偽サイトの普及にも利用されるようになってしまいました。
3.2 「.jp」ドメインを利用した偽サイト
以前の偽サイトでは「.com」「.net」などの一般的なドメインの他、海外のドメインが使用されていましたが、本事例では日本のccTLDである「.jp」を使用するものが多く報告されております。
上記2点のいずれも、これまで偽サイトを見分けるポイントの1つとされておりましたが、最近では容易に偽装することができるため、見分けることが難しくなってきております。
4. 今できる!偽サイトを見分ける3つのポイント
攻撃者の手口は巧妙になってきておりますが、現状での被害を防ぐポイントを3点紹介します。
01
SMSに記載されたURLへのアクセスはしない
SMSで送信する際の差出人名は、電話番号の代わりに任意の英数字を表記することができてしまうため、正規の送信者と同じスレッド内に偽の送信者のメッセージを表示させることが可能となっており、差出人名で偽の送信者と判断することが難しくなっております。
金融機関を含め様々なサービスでSMSが使われていますが、金融機関ではログインを促すようなメッセージを送ることはなく、本事象について各金融機関は注意喚起を行っております。今はSMSが悪用されているということを知っておくだけでも、被害にあうリスクを減らせると思います。
02
URLの確認
サイトにアクセスしてしまった後では、そのサイトが本物か偽物かを判断するのが非常に難しい状況です。アクセスする前に正しいウェブサイトのURLを検索エンジンで調査し、URLが本物であるかどうかを確認することが被害を防ぐポイントとなります。頻繁に利用するサイトの場合、事前に正しいURLをブックマークに登録して、ブックマークからアクセスするのも一つの手段と言えるでしょう。
03
検索エンジンやSNSの確認
突然送られてきたメッセージの内容を少しでも怪しいと感じた場合は、件名や本文の内容を検索エンジンやSNS(ソーシャルネットワーキングサービス)で確認することで、偽物と判断できる情報が入手できる場合があります。
5. 過去の常識にとらわれず最新情報を収集してください
二要素認証はセキュリティ対策として非常に有効な手段でしたが、今回の事例により、過去のセキュリティの常識・定石は通用しなくなることが考えれられます。また、時代の流れで本物か偽物か見分けるポイントも変わってきていることも考慮すると、最新の攻撃手法や事例を継続して把握していくことが重要であると言えるでしょう。
QTnetでは、セキュリティ研修サービスを提供しております。自治体向けの特定個人情報に関する研修から、企業のセキュリティポリシーや業界のガイドラインに合わせた研修まで、豊富な導入実績を誇ります。「セキュリティ研修のコンテンツがマンネリ化している」「組織のセキュリティポリシーを浸透させなければならない」などお悩みはありませんか?QTnetでは事前打合せを実施し、お客さまの業種・業界に合わせた研修資料を作成します。経営層や管理職、一般職などの役職や職責に合わせた研修も可能です。
本サービスの価格やお見積りにつきましては、QTnet担当営業または下記へお問合せください。