MITB攻撃で実際にあう被害は？

近年は金融機関において、MITB（Man In The Browser）によるインターネットバンキングにおける不正送金の被害が増加しています。今回はMITBでの被害と対処方法を解説します。

MITB攻撃について、正しいか誤りかを○×で選択してください。

1.不正送金の被害にあっても被害者が気づくことができない
2.欧州の金融機関の被害額は1000億円規模
3.ハードウェアトークンによるワンタイムパスワードを利用していても被害にあう

1. ○ （正規のオンラインバンキングサイトで送金されるため、利用者は気付けません）
2. × （なんと、たった1年だけで2000億円の被害額です）
3. ○ （ログイン後の通信内容自体を改竄されるので、入口の認証だけでは防げません）

オンラインバンキングサービスをターゲットにした攻撃がMITB

MITB攻撃は主に銀行のオンラインバンキングサービスをターゲットにした攻撃です。ユーザーのパソコンに感染したマルウェアが、ユーザーのWebブラウザと接続先のWebサイトとの間で交わされる通信を乗っ取り、不正な操作を行います。あたかも接続先とWebブラウザの間に、第三者が介在するような攻撃であることから、このような名前が付けられました。

MITB攻撃は通信を乗っ取り、送金先の口座番号を書き換えることで、本来送金しようとしていた相手に振り込んだ様に見せかけ、不正送金を可能とします。そのため、利用者は正規の操作が完了したように思いこむため、不正利用されたことにまず気付くことはできません。

実際に欧州で多発した不正送金詐欺「Operation High Roller」はMITB攻撃によるものです。被害額は2000億円規模にものぼります。日本国内でも、MITBも含めた各種攻撃手法による不正送金は増えており、警視庁の発表によれば、2014年中に102金融機関が被害にあっています。

ワンタイムパスワードを利用しても被害に遭った事例も

MITB攻撃はWebブラウザの中で改ざんや盗聴を行う攻撃であり、ハードウェアトークンによるワンタイムパスワードを利用しても、認証後の通信内容を改ざんや盗聴されてしまうため無力です。実際に2014年、国内大手金融機関がMITB攻撃で、ハードウェアトークンによるワンタイムパスワードを利用していたにもかかわらず、不正送金の被害に遭った事例が報告されています。

また、SSLも同様に効果は期待できません。接続先はあくまでも正規のオンラインバンキングのWebサイトであり、偽サイトに接続させるわけではないためです。

MITBに対しては、SSLやワンタイムパスワードといった通常の対策では、効果はほとんど期待できません。ここでは被害を防ぐ可能性を高める2つの対策案を紹介します。

• MITB攻撃専用の対策を導入

  最近はMITB攻撃専用の対策がいくつか提供されているので、それらを利用することが望まれます。例えば2015年3月、都市銀行が「トランザクション認証」を導入しました。正規の振込先口座番号に紐づけた特殊なワンタイムパスワードによって、意図しない番号による口座への不正な振込みを防ぎます。

• マルウェア感染対策の徹底

  MITB攻撃の契機はマルウェアの感染です。従って、ウイルス対策ソフトの導入や、OSやアプリケーションを常に最新版に保つなど、マルウェア感染対策が第一歩となります。

• なぜ迷惑メールは増え続けるのか？
• 設定してはいけないパスワードのタイプは？
• 一定回数間違えた場合に、ロックすれば不正ログインは完全に防げる？
• MITB攻撃で実際にあう被害は？
• 遠隔操作ウィルスによる犯罪は？
• セキュリティの新しい国家資格は？
• Miraiウイルスの主な感染先は？
• セキュリティ研修はどう実施すべき？
• 標的型攻撃メールの被害を受ける要因は？
• 内部不正による情報漏えいはどんな立場の人が多い？
• 働き方改革を加速させるフリーWi-Fi。便利だけど、どんな脅威がある？
• AIとIoTのエンジニア育成に注力する省庁は？
• 大手コンビニに導入予定の認証技術は？
• 今年最も懸念されるセキュリティの脅威は
• スマホがウイルスに感染？ その兆候とは
• ヤフーが新たに採用した認証方式とは？
• QRコード決済が乱立。解決を主導する省庁は？
• あと数年で何が起こる！？　ITシステム「2025年の崖」とは？
• 今後は実施が必須!？　「サイバー防災訓練」とは
• ブラウザに「これってサポート詐欺？」と思う警告画面が出てきたら？
• フェイスブックが新たに発表した仮想通貨の名称は？
• 被害急増中！ モバイル利用者を狙うフィッシング攻撃の手口とは？
• 変化するマルウエア。2019年秋頃から被害が増えているのは？
• Webブラウザに未修正の脆弱性が！ どんな攻撃を受ける？
• 企業の無線LANのセキュリティ対策で正しくないのは？
• IPAの情報セキュリティ10大脅威。2020年の個人部門1位は？
• スマホを水中に落とした！水から引き上げたらまずやるべきなのは？
• メガネ型のウェアラブルデバイス、○○グラスとは？
• 急増するウイルスへの感染を狙う攻撃メール。ウイルス感染対策はどうする？
• 2020年秋から攻撃急増！「Zerologon」とはどんな攻撃？
• パスワード付きZIPファイル“PPAP”はなぜ廃止になった？
• 知らぬ間に、Googleに保存していた大切なデータが消えている！？
• IoTと何が違う!?　次世代のトレンド「IoB」とは
• パスワード流出で何が起きる？　どう防げばいい？
• 手をかざすだけで触っている感覚が得られる技術とは？
• 今の時代、プログラミングの知識ゼロでもアプリを開発できる！？
• 最近トレンドの「何も信頼しない」が前提のセキュリティとは？
• これなら安全！　2種類以上の方法による認証方式とは？
• 何が違うの？　電子契約に欠かせない「電子印鑑」と「電子署名」とは
• アプリケーションを誰でも使いこなせるようにする仕組みとは？
• 行政サービスを国民一人ひとりが享受できることを目指し、政府が進めているデジタル化の取り組みとは？
• Windows 10のサポート終了はいつ？　何が困る？
• 最先端技術を活用して未来都市を実現する日本政府の構想とは？
• 本人と見分けつかない!?　偽動画によるビジネス詐欺に注意

いまほしい栄養（情報）をピンポイントで補給できる“ビジネスのサプリメント”
「ビズサプリ」のご紹介