クイズ「情シス部門が知っておきたいテーマ」
MITB攻撃で実際にあう被害は?
2016年9月
近年は金融機関において、MITB(Man In The Browser)によるインターネットバンキングにおける不正送金の被害が増加しています。今回はMITBでの被害と対処方法を解説します。
クエスチョン
MITB攻撃について、正しいか誤りかを○×で選択してください。
1.不正送金の被害にあっても被害者が気づくことができない
2.欧州の金融機関の被害額は1000億円規模
3.ハードウェアトークンによるワンタイムパスワードを利用していても被害にあう
アンサー
- ○ (正規のオンラインバンキングサイトで送金されるため、利用者は気付けません)
- × (なんと、たった1年だけで2000億円の被害額です)
- ○ (ログイン後の通信内容自体を改竄されるので、入口の認証だけでは防げません)
解説
オンラインバンキングサービスをターゲットにした攻撃がMITB
MITB攻撃は主に銀行のオンラインバンキングサービスをターゲットにした攻撃です。ユーザーのパソコンに感染したマルウェアが、ユーザーのWebブラウザと接続先のWebサイトとの間で交わされる通信を乗っ取り、不正な操作を行います。あたかも接続先とWebブラウザの間に、第三者が介在するような攻撃であることから、このような名前が付けられました。
MITB攻撃は通信を乗っ取り、送金先の口座番号を書き換えることで、本来送金しようとしていた相手に振り込んだ様に見せかけ、不正送金を可能とします。そのため、利用者は正規の操作が完了したように思いこむため、不正利用されたことにまず気付くことはできません。
実際に欧州で多発した不正送金詐欺「Operation High Roller」はMITB攻撃によるものです。被害額は2000億円規模にものぼります。日本国内でも、MITBも含めた各種攻撃手法による不正送金は増えており、警視庁の発表によれば、2014年中に102金融機関が被害にあっています。
ワンタイムパスワードを利用しても被害に遭った事例も
MITB攻撃はWebブラウザの中で改ざんや盗聴を行う攻撃であり、ハードウェアトークンによるワンタイムパスワードを利用しても、認証後の通信内容を改ざんや盗聴されてしまうため無力です。実際に2014年、国内大手金融機関がMITB攻撃で、ハードウェアトークンによるワンタイムパスワードを利用していたにもかかわらず、不正送金の被害に遭った事例が報告されています。
また、SSLも同様に効果は期待できません。接続先はあくまでも正規のオンラインバンキングのWebサイトであり、偽サイトに接続させるわけではないためです。
Tips
MITBに対しては、SSLやワンタイムパスワードといった通常の対策では、効果はほとんど期待できません。ここでは被害を防ぐ可能性を高める2つの対策案を紹介します。
- MITB攻撃専用の対策を導入
最近はMITB攻撃専用の対策がいくつか提供されているので、それらを利用することが望まれます。例えば2015年3月、都市銀行が「トランザクション認証」を導入しました。正規の振込先口座番号に紐づけた特殊なワンタイムパスワードによって、意図しない番号による口座への不正な振込みを防ぎます。
- マルウェア感染対策の徹底
MITB攻撃の契機はマルウェアの感染です。従って、ウイルス対策ソフトの導入や、OSやアプリケーションを常に最新版に保つなど、マルウェア感染対策が第一歩となります。