2011年11月06日

ネットバンキング、預金不正送金急増 偽サイト誘導・ウイルス侵入

金融機関のインターネットバンキングで、預金が不正に送金される被害が急増している。犯行グループはさまざまな手口を駆使しながら、巧妙に利用者の契約者番号(ID)やパスワードといった個人情報を抜き取って悪用。金銭奪取を目的としたサイバー犯罪に対抗するため、警察庁では金融機関や利用者にセキュリティー対策の強化を求めている。


「メールは相当、大規模にばらまかれているのではないか」。三菱東京UFJ銀行の担当者は語る。

偽の銀行サイトにメールで誘導するなどし、利用者の個人情報を入力させてだまし取る“フィッシング”。「不審なメールが届いている」と利用者から同行に通報が入ったのは8月25日のこと。2週間近くが経過した9月6日、ネットバンキングで6件、数百万円の被害が確認された。だまし取られた個人情報を元に、利用者の預金が他人名義の口座に不正送金された上で引き出されていた。

不審メールに絡む利用者からの問い合わせは500件を超えた。メールは同行で口座を開設していない人にも送付されていた。「問い合わせだけでこの数字なので、実際に送付されたメールは相当な数に上るだろう。被害拡大への危機感は強い」と同行の担当者は懸念する。

同様の被害は三井住友銀行でも発生。「身に覚えのない出金がある」という問い合わせを調べたところ、10月13日に6件約1千万円の被害が確認された。

両行の被害に共通しているのは、セキュリティーの向上を装ったメールを送信し、固定式のIDとパスワードに加え、「第2暗証」と呼ばれる乱数表を添付ファイルに入力させて返信させたり、偽サイトに誘導して入力させている点だ。金融機関がメールでこうした入力を求めることはない。

「固定式のIDやパスワードをだまし取る手口は昔からあったが、セキュリティー上有効な第2暗証まで狙った手口は初めてで警戒が必要だ」(警察庁)

フィッシング以上に、ネットバンキングにとって脅威となっているのがウイルスだ。

 警察庁によると、今年4月から10月中旬までに、利用者のIDやパスワードがネットバンキングで勝手に使われた不正アクセス事件は、33都道府県の53金融機関で133件に上る。うち30件は未遂に終わったが、103件では利用者の預金が他人名義の口座に不正送金され、約2億8千万円が被害に遭った。

 被害額のうち、約1500万円はフィッシングでだまし取られた個人情報が使われていたが、残る約2億6500万円は「利用者のパソコンにウイルスが仕込まれ、知らない間に盗み取られた個人情報が悪用されていたとみられる」(警察庁)。

 利用者の一部パソコンからは、有益な情報を装って侵入したのちに情報流出などを起こす「トロイの木馬」のほか、欧米でも確認された「スパイアイ」や「Zbot(ゼットボット)」と呼ばれるウイルスが発見された。

「ウイルスによる被害は国内では4月に初めて確認された」と警察庁の幹部は手口の新しさを指摘する。

犯行グループの中には、無関係の第三者のパソコンにウイルスを仕込んで侵入して“踏み台”とし、すでに盗み取った個人情報を元に、ネットバンキングに接続して不正送金を実行していたケースもあった。2500以上のウイルスに感染していた踏み台のパソコンもあったという。

犯行グループの手口はさらに周到だ。踏み台に悪用したパソコンに残した痕跡を消去するなどして、警察の追跡を困難にしているといい、検挙に至ったケースはまだない。

犯行グループが日進月歩で手口を進化させる中、ウイルス対策ソフトの導入などセキュリティーに対する一人一人の意識の向上が必要となっている。

産経新聞 11月6日


posted by networksecurity at 08:25| 日記