セキュリティ会社のセキュアブレインは2012年11月8日、ネットバンキングの暗証番号などを盗むウイルス(マルウエア)を解析し、その結果を公表した。正規のサイトから送られてきたHTMLファイルを改ざんすることで、偽のポップアップ画面を表示させるという。
10月下旬以降、大手銀行が提供するネットバンキングサービスや、カード会社が提供するWebサービスにおいて、偽の情報入力画面が表示される事件が相次いで公表されている。現在までに、ゆうちょ銀行や三井住友銀行、三菱東京UFJ銀行、みずほ銀行、楽天銀行、住信SBIネット銀行、三菱UFJニコスのWebサービスで確認されている。
今回の事件では、正規サイトへのログイン後に、暗証番号などの入力を要求するポップアップ画面が表示される。ポップアップ画面には、それぞれの銀行のロゴなども表示されるので、一見本物のように思えるが、実際は偽物。入力した情報は第三者に送信される。
偽の情報入力画面を表示しているのは、パソコン上で動作するウイルス。今回セキュアブレインでは、一連の事件で使われたと思われるウイルスの一つを入手し、その挙動を解析した。解析したのは、ゆうちょ銀行のユーザーを狙ったと思われるウイルス。
パソコンがこのウイルスに感染しても、ゆうちょ銀行のネットバンキングサービス「ゆうちょダイレクト」のログインページを表示しただけでは、偽のポップアップは表示されない。ログイン画面に置かれている「次へ」ボタンを押すと、偽のポップアップが表示され、暗証番号や合い言葉の入力を促される(図1)。入力した情報は暗号化され、ウクライナに置かれているサーバーに送信されるという。
ポップアップが表示されるのは、ゆうちょダイレクトのWebサイトから送られてきたHTMLファイルに、ウイルスがパソコン上でポップアップのコードを追加しているため(図2)。Webブラウザーは、正規のWebサイトから送られてきたHTMLファイルの一部として解釈し、問題のポップアップを表示している。つまり、正規のWebサイトに接続しているにもかかわらず、パソコンでは偽の情報入力画面が表示される。
同社では、「既存のフィッシングとは異なり、正規のWebサイトにアクセスしているにもかかわらず、不正なポップアップ画面を表示する高度な攻撃です」と解説。ネットバンキングを利用するパソコンでは、ウイルス対策ソフトを必ず使用すること、ウイルス定義ファイル(パターンファイル)を最新の状態に保つことを、防御策として挙げている。