2013年9月の呼びかけ
情報処理推進機構(IPA)は、インターネットバンキングの不正送金による被害が今年に入ってから急増しているとして注意を呼びかけています。
寄せられる相談も“インターネットバンキングの不正送金”に関する相談の件数が、6月以降目立っています。
また、これまで有効とされていた「ワンタイムパスワード」を用いた認証が破られるなど、新たな手口が出現しています。
従来の手口
基本的な手口は以下の流れで、利用者のパソコンをウイルスに感染させることで不正なポップアップを画面に表示させ、インターネットバンキングのID、パスワード、暗証番号、乱数表、合言葉を盗み取るものです。
ワンタイムパスワードを破る新たな手口
新たな手口では、認証情報などを盗み取る「第1ステージ」と盗み取った認証情報を悪用する「第2ステージ」が存在すると考えられます。
第1ステージ(認証情報の窃取)
【1】ログイン操作、送金操作(①)
利用者は、インターネットバンキングへのログイン操作や送金操作を行います。
【2】ワンタイムパスワードの通知(②)
事前に登録したメールアドレスへワンタイムパスワードが送られます。
【3】ワンタイムパスワードの確認(③、④)
利用者は、メールで通知されたワンタイムパスワードを確認するために、ウェブメールサービスへID、パスワードを入力してログインし、ワンタイムパスワードを確認します。
【4】ウイルスによる認証情報の窃取(⑤)
利用者のパソコンがウイルスに感染していると、インターネットバンキングのID、パスワード、乱数表、合言葉に加えて、ウェブメールサービスのID、パスワードをも攻撃者に盗み取られてしまいます。
第2ステージ(認証情報の悪用)
【1】ログイン操作、送金操作(①)
攻撃者は、盗み取った認証情報を使い、インターネットバンキングへのログイン操作や送金操作を行います。
【2】ワンタイムパスワードの通知(②)
事前に登録したメールアドレスへワンタイムパスワードが送られます。
【3】ワンタイムパスワードの確認(③、④)
攻撃者は、盗み取ったウェブメールサービスのID、パスワードを使い、ウェブメールサービスへ不正にログインし、ワンタイムパスワードを確認します。
【4】窃取した認証情報を使い不正にログイン、送金(⑤、⑥)
攻撃者は、利用者に気づかれないうちに不正にネットバンキングにログインし、不正な送金を行います。
情報処理推進機構(IPA)
http://www.ipa.go.jp/security/txt/2013/09outline.html