MITB攻撃で実際にあう被害は？

近年は金融機関において、MITB（Man In The Browser）によるインターネットバンキングにおける不正送金の被害が増加しています。今回はMITBでの被害と対処方法を解説します。

MITB攻撃について、正しいか誤りかを○×で選択してください。

1.不正送金の被害にあっても被害者が気づくことができない
2.欧州の金融機関の被害額は1000億円規模
3.ハードウェアトークンによるワンタイムパスワードを利用していても被害にあう

1. ○ （正規のオンラインバンキングサイトで送金されるため、利用者は気付けません）
2. × （なんと、たった1年だけで2000億円の被害額です）
3. ○ （ログイン後の通信内容自体を改竄されるので、入口の認証だけでは防げません）

オンラインバンキングサービスをターゲットにした攻撃がMITB

MITB攻撃は主に銀行のオンラインバンキングサービスをターゲットにした攻撃です。ユーザーのパソコンに感染したマルウェアが、ユーザーのWebブラウザと接続先のWebサイトとの間で交わされる通信を乗っ取り、不正な操作を行います。あたかも接続先とWebブラウザの間に、第三者が介在するような攻撃であることから、このような名前が付けられました。

MITB攻撃は通信を乗っ取り、送金先の口座番号を書き換えることで、本来送金しようとしていた相手に振り込んだ様に見せかけ、不正送金を可能とします。そのため、利用者は正規の操作が完了したように思いこむため、不正利用されたことにまず気付くことはできません。

実際に欧州で多発した不正送金詐欺「Operation High Roller」はMITB攻撃によるものです。被害額は2000億円規模にものぼります。日本国内でも、MITBも含めた各種攻撃手法による不正送金は増えており、警視庁の発表によれば、2014年中に102金融機関が被害にあっています。

ワンタイムパスワードを利用しても被害に遭った事例も

MITB攻撃はWebブラウザの中で改ざんや盗聴を行う攻撃であり、ハードウェアトークンによるワンタイムパスワードを利用しても、認証後の通信内容を改ざんや盗聴されてしまうため無力です。実際に2014年、国内大手金融機関がMITB攻撃で、ハードウェアトークンによるワンタイムパスワードを利用していたにもかかわらず、不正送金の被害に遭った事例が報告されています。

また、SSLも同様に効果は期待できません。接続先はあくまでも正規のオンラインバンキングのWebサイトであり、偽サイトに接続させるわけではないためです。

MITBに対しては、SSLやワンタイムパスワードといった通常の対策では、効果はほとんど期待できません。ここでは被害を防ぐ可能性を高める2つの対策案を紹介します。

• MITB攻撃専用の対策を導入

  最近はMITB攻撃専用の対策がいくつか提供されているので、それらを利用することが望まれます。例えば2015年3月、都市銀行が「トランザクション認証」を導入しました。正規の振込先口座番号に紐づけた特殊なワンタイムパスワードによって、意図しない番号による口座への不正な振込みを防ぎます。

• マルウェア感染対策の徹底

  MITB攻撃の契機はマルウェアの感染です。従って、ウイルス対策ソフトの導入や、OSやアプリケーションを常に最新版に保つなど、マルウェア感染対策が第一歩となります。