トレンドマイクロ、ワンタイムパスワード導入の金融機関を狙うサイバー攻撃を確認

インターネットコム / 2014年9月12日 21時40分

写真

トレンドマイクロ、ワンタイムパスワード導入の金融機関を狙うサイバー攻撃を確認

トレンドマイクロでは、ネットバンキング詐欺への対策の1つ、ワンタイムパスワードの打破を狙った攻撃を確認した。

サイバー犯罪者集団は、「SMS のメッセージ」(テキストメッセージ)で送信されるワンタイムパスワードを導入している銀行を標的にする。ワンタイムパスワードは、ユーザーのモバイル端末を二次的な経路として利用する二要素認証。

ネットバンキングの Web サイトにログインするために、銀行は、ユーザーに数字が記載されたテキストメッセージを送信する。ユーザーは、銀行と取引をするために、通常のユーザー名やパスワードの他に、その数字を入力する必要が生じる。

サイバー犯罪者は、有名なオンライン小売業になりすまし、ユーザーにスパムメールを送信する。ユーザーが不正なリンクもしくは添付ファイルをクリックすると、不正プログラムに PC が感染する。これが典型的なものだった。

しかし、今回確認した攻撃では、ユーザーの PC は実際には感染しない。少なくとも、一般的なオンライン銀行詐欺ツールには感染しない。この不正プログラムは、PC の環境設定を変更した後、自身を削除する。つまり、感染を検出できない。設定変更はわずかだが、大きな影響を与える。

この不正プログラムの活動は次のとおり。ユーザーの PC の DNS 設定が、サイバー犯罪者が管理する他のサーバーに誘導するよう、変更される。そして、この不正プログラムは、感染 PC 上に不正な SSL ルート証明書をインストールする。その結果、不正な HTTPS サーバーが初期設定されるため、セキュリティ警告が表示されることはない。

その後、感染した PC でユーザーがネットバンキングの Web サイトにアクセスしようとすると、不正な Web サイトに誘導される。ユーザーが認証情報を入力すると、サイバー犯罪者集団はモバイル端末にアプリをインストールするよう指示する。

この不正な Android 端末用アプリは、銀行のワンタイムパスワード生成アプリを装う。実際には、この不正なアプリは、銀行からのショートメッセージを傍受し、自身のコマンド&コントール(C&C)サーバーや、もしくは別のモバイル端末の電話番号に傍受した情報を転送する。

つまり、このサイバー犯罪者は、フィッシング詐欺サイトを介してユーザーのオンライン銀行の認証情報を窃取するだけではなく、オンライン銀行に必要なワンタイムパスワードも窃取する。こうして、サイバー犯罪者はユーザーのネットバンキングのアカウントを管理下におく。

同社では、これらのサイバー犯罪者たちを、「-=FreeMan=-」および「Northwinds」というオンライン上のニックネームで追跡できた。このサイバー犯罪者集団は、2011年から不正活動を行っており、当時は「SpyEye」や「Hermes」といった既製の不正プログラムを拡散していた。

インターネットコム

トピックスRSS

ランキング