国内3銀行で不正送金420万円、欧米では2000億円の被害!

クラウド情報セキュリティ

メガバンクなど国内3行のインターネットバンキングで2012年10月から11月にかけて、総額420万円が不正に引き出される事件が発生しました。

欧米でも似た手口で既に2000億円規模の被害が出ています。

正規の銀行サイトで発生した事件を前に、金融機関各社の対策は急務です。

[事件の概要]

 「不正にポップアップ画面を表示させてインターネットバンキングの情報を盗み取ろうとする犯罪にご注意下さい。」 

国内金融機関は2012年11月上旬、新手のフィッシング詐欺について警告する告知を一斉公開した。

不正なポップアップ画面の表示が確認されたのは、ゆうちょ銀行、三井住友銀行、三菱東京UFJ銀行、みずほ銀行、楽天銀行、住信SBIネット銀行の6行 と、クレジットカード会社の三菱UFJニコスです。

警察庁によれば、不正画面にパスワードを入力した利用者は11月9日時点で364人に上る。このうち三井住友、みずほ、楽天の3行では、合計5口座から総額420万円が不正に引き出された

今回の事件には、これまでのフィッシング詐欺とは根本的に異なる点がある。利用者がアクセスしたのが、正規の銀行サイトだった点だ。利用者のPCに感染したウイルスが、正規サイトから受信したHTMLを改ざんし、偽のポップアップ画面を表示した。

利用者は正規サイトを参照しているので、アクセス先が正規サイトであることを証明する「SSL証明書」のほか、Webブラウザーやセキュリティソフトが備 える「フィッシング詐欺検知機能」はほとんど無力だった。使われたウイルスはいずれも新種で、ウイルス対策ソフトでは発見できなかった。

正規サイトとの通信を改ざんして認証情報を盗み取る手口は、欧州を中心に全世界で最大2000億円もの被害を出したとされる金融詐欺事件 「Operation High Roller」と同じものだ。同攻撃で使われたウイルスは、ワンタイムパスワードやICカード認証といった「2要素認証」すら無効化させる機能を備えてい た。こうした大規模な金融詐欺は今後、国内でも発生しかねない。

今回のポップアップ型フィッシング詐欺からみても、国際的な犯罪者集団が日本を「有望な標的」とみていることは明らかだ。国内の金融機関は早急に対策を講じる必要がある。

出典元:ITpro(http://itpro.nikkeibp.co.jp/article/COLUMN/20130112/449262/?ST=system&P=1)

コメントを投稿する




*

※コメントは管理者による承認後に掲載されます。

トラックバック