クイズ「情シス部門が知っておきたいテーマ」
MITB攻撃で実際にあう被害は?
2016年9月
近年は金融機関において、MITB(Man In The Browser)によるインターネットバンキングにおける不正送金の被害が増加しています。今回はMITBでの被害と対処方法を解説します。
クエスチョン
MITB攻撃について、正しいか誤りかを○×で選択してください。
1.不正送金の被害にあっても被害者が気づくことができない
2.欧州の金融機関の被害額は1000億円規模
3.ハードウェアトークンによるワンタイムパスワードを利用していても被害にあう
アンサー
- ○ (正規のオンラインバンキングサイトで送金されるため、利用者は気付けません)
- × (なんと、たった1年だけで2000億円の被害額です)
- ○ (ログイン後の通信内容自体を改竄されるので、入口の認証だけでは防げません)
解説
オンラインバンキングサービスをターゲットにした攻撃がMITB
MITB攻撃は主に銀行のオンラインバンキングサービスをターゲットにした攻撃です。ユーザーのパソコンに感染したマルウェアが、ユーザーのWebブラウザと接続先のWebサイトとの間で交わされる通信を乗っ取り、不正な操作を行います。あたかも接続先とWebブラウザの間に、第三者が介在するような攻撃であることから、このような名前が付けられました。
MITB攻撃は通信を乗っ取り、送金先の口座番号を書き換えることで、本来送金しようとしていた相手に振り込んだ様に見せかけ、不正送金を可能とします。そのため、利用者は正規の操作が完了したように思いこむため、不正利用されたことにまず気付くことはできません。
実際に欧州で多発した不正送金詐欺「Operation High Roller」はMITB攻撃によるものです。被害額は2000億円規模にものぼります。日本国内でも、MITBも含めた各種攻撃手法による不正送金は増えており、警視庁の発表によれば、2014年中に102金融機関が被害にあっています。
ワンタイムパスワードを利用しても被害に遭った事例も
MITB攻撃はWebブラウザの中で改ざんや盗聴を行う攻撃であり、ハードウェアトークンによるワンタイムパスワードを利用しても、認証後の通信内容を改ざんや盗聴されてしまうため無力です。実際に2014年、国内大手金融機関がMITB攻撃で、ハードウェアトークンによるワンタイムパスワードを利用していたにもかかわらず、不正送金の被害に遭った事例が報告されています。
また、SSLも同様に効果は期待できません。接続先はあくまでも正規のオンラインバンキングのWebサイトであり、偽サイトに接続させるわけではないためです。
Tips
MITBに対しては、SSLやワンタイムパスワードといった通常の対策では、効果はほとんど期待できません。ここでは被害を防ぐ可能性を高める2つの対策案を紹介します。
- MITB攻撃専用の対策を導入
最近はMITB攻撃専用の対策がいくつか提供されているので、それらを利用することが望まれます。例えば2015年3月、都市銀行が「トランザクション認証」を導入しました。正規の振込先口座番号に紐づけた特殊なワンタイムパスワードによって、意図しない番号による口座への不正な振込みを防ぎます。
- マルウェア感染対策の徹底
MITB攻撃の契機はマルウェアの感染です。従って、ウイルス対策ソフトの導入や、OSやアプリケーションを常に最新版に保つなど、マルウェア感染対策が第一歩となります。
クイズ「情シス部門が知っておきたいテーマ」
- なぜ迷惑メールは増え続けるのか?
- 設定してはいけないパスワードのタイプは?
- 一定回数間違えた場合に、ロックすれば不正ログインは完全に防げる?
- MITB攻撃で実際にあう被害は?
- 遠隔操作ウィルスによる犯罪は?
- セキュリティの新しい国家資格は?
- Miraiウイルスの主な感染先は?
- セキュリティ研修はどう実施すべき?
- 標的型攻撃メールの被害を受ける要因は?
- 内部不正による情報漏えいはどんな立場の人が多い?
- 働き方改革を加速させるフリーWi-Fi。便利だけど、どんな脅威がある?
- AIとIoTのエンジニア育成に注力する省庁は?
- 大手コンビニに導入予定の認証技術は?
- 今年最も懸念されるセキュリティの脅威は
- スマホがウイルスに感染? その兆候とは
- ヤフーが新たに採用した認証方式とは?
- QRコード決済が乱立。解決を主導する省庁は?
- あと数年で何が起こる!? ITシステム「2025年の崖」とは?
- 今後は実施が必須!? 「サイバー防災訓練」とは
- ブラウザに「これってサポート詐欺?」と思う警告画面が出てきたら?
- フェイスブックが新たに発表した仮想通貨の名称は?
- 被害急増中! モバイル利用者を狙うフィッシング攻撃の手口とは?
- 変化するマルウエア。2019年秋頃から被害が増えているのは?
- Webブラウザに未修正の脆弱性が! どんな攻撃を受ける?
- 企業の無線LANのセキュリティ対策で正しくないのは?
- IPAの情報セキュリティ10大脅威。2020年の個人部門1位は?
- スマホを水中に落とした!水から引き上げたらまずやるべきなのは?
- メガネ型のウェアラブルデバイス、○○グラスとは?
- 急増するウイルスへの感染を狙う攻撃メール。ウイルス感染対策はどうする?
- 2020年秋から攻撃急増!「Zerologon」とはどんな攻撃?
- パスワード付きZIPファイル“PPAP”はなぜ廃止になった?
- 知らぬ間に、Googleに保存していた大切なデータが消えている!?
- IoTと何が違う!? 次世代のトレンド「IoB」とは
- パスワード流出で何が起きる? どう防げばいい?
- 手をかざすだけで触っている感覚が得られる技術とは?
- 今の時代、プログラミングの知識ゼロでもアプリを開発できる!?
- 最近トレンドの「何も信頼しない」が前提のセキュリティとは?
- これなら安全! 2種類以上の方法による認証方式とは?
- 何が違うの? 電子契約に欠かせない「電子印鑑」と「電子署名」とは
- アプリケーションを誰でも使いこなせるようにする仕組みとは?
- 行政サービスを国民一人ひとりが享受できることを目指し、政府が進めているデジタル化の取り組みとは?
- Windows 10のサポート終了はいつ? 何が困る?
- 最先端技術を活用して未来都市を実現する日本政府の構想とは?
- 本人と見分けつかない!? 偽動画によるビジネス詐欺に注意