ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

不正送金問題で暗躍する「不正ログインbot」 大量にアクセスされても“見えない”理由「見えないWeb攻撃」──情報漏えい対策の盲点(1/3 ページ)

» 2020年10月21日 10時00分 公開
[中西一博ITmedia]

連載:「見えないWeb攻撃」──情報漏えい対策の盲点

コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。

これまでの連載:迷惑bot事件簿


 ドコモ口座への不正送金事件を契機に、金融機関のネットサービスやネット決済サービスの弱点が報道などで次々に明らかにされている。事件の手口には未だ謎が残っており、当初報じられたような「ネット決済サービスの本人確認の強化という大穴をふさげば問題は全て解消する」という単純な話ではなさそうだ。世界を見ても金融機関のオンラインアカウントの乗っ取りを狙う犯罪は多発している。今回は「見えない不正ログイン」という観点から、こうした犯行の手法や、事件を取り巻く背景を改めて考察してみたい。

不正送金事件の手口の考察

 ドコモ口座の事件では、すでに多くの分析や報道が行われた。その結果、「電子決済サービスのアカウント開設時の本人確認が不十分」「銀行のWeb口座振替受付サービスとのひも付けの申し込みがわずかな情報で可能」という弱点を突いて、銀行口座から犯人が偽造した決済サービスのアカウントに不正送金が行われたことが分かっている。

 筆者も今回被害が報じられた銀行のいくつかに口座を持っていたので、少し検証してみた。ある銀行が提供するネットバンキングサービスへの直接ログインでは、「契約者ID(口座契約者に郵送される口座番号とは別の数字10桁)」と「パスワード」でログインができる。申請すればワンタイムパスワード化もできるようだ。銀行側からの振り込みにはワンタイムパスワードが都度必要となる。

 このことから、銀行自身のネットバンキングでは、契約者番号など普段利用しない情報などを求めることで、多少高めのハードルを設定していることが分かる。一方で、オンライン口座振替サービスの申し込みに必要な情報は「口座名義」「支店・口座番号」「生年月日」「キャッシュカードの暗証番号」と少ない。今回の事件ではこの弱点が狙われたといえるだろう。また、口座ひも付け申し込み時の失敗率はそれほど高くないというNTTドコモの会見時のコメントから、あらかじめ4つの情報がセットで犯人の手元にそろっていたと考えられる。では、犯罪者はこの精度の高い情報をどう入手したのだろうか?

 必要な情報のうち「口座名義」「生年月日」「支店・口座番号」は、秘匿扱いの情報とはいえない。氏名と生年月日の情報はSNSなどで簡単に集められる。支店・口座番号は、還付金、払い戻しなどの振り込み先としてネットでも時々入力する情報だ。振り込み先情報がそれらのサイトから流出してもおかしくない。懸賞金の振り込みをかたり、口座番号を聞き出す特殊詐欺の手口も横行している。振り込み先の確認用に、入力した支店・口座番号から、口座名義を表示するサービスをオンラインバンキングで提供する銀行もある。

 では、残りの暗証番号などの秘匿情報を犯罪者はどうやって入手したのか?

 世界では、複数のサービスから集めた個人情報を組み合わせて悪用する手法が一般化している。特に銀行の口座情報やクレジットカード情報、利用者の住所や生年月日などをセットにした情報は「Fullz」(フルズ)と呼ばれ、闇市場で高値で取引されている。

闇取引されるフルセットの個人情報「Fullz」

 銀行口座の暗証番号や、クレジットカード裏面のセキュリティコードを含む情報には高値が付くため、闇市場の売人たちはそれらの秘匿情報を入手しようとする。そのために利用されているのが「フィッシング」「botによる総当たり攻撃」「Webスキミング」だ。

 Webスキミングでは、例えば不正なJavaScriptをWebブラウザに送り込み、利用者が入力する情報を気付かれぬよう盗み取る。この攻撃手法はまだ日本では認知度が浅く、金融機関でも十分対策が取られているとは言いがたい。対策を急ぐべき分野だろう。手口と対策については、以前の連載記事で詳しく取り上げたので参考にしてほしい。今回は、残りの「フィッシング」「botによる総当たり攻撃」が用いられる可能性を考えてみよう。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.