ネット銀行サービスの入力画面を装い、ログイン時に使う暗証番号などを不正に盗み取るマルウエアが猛威を振るっている。被害に遭ったのは2012年11月14日時点で、みずほ銀行など6行とクレジット大手の三菱UFJニコス。ゆうちょ銀行の口座から40万円が引き出されるなど4件の不正送金が発生した。警察庁によれば、市民からの相談は11月5日時点で329件に達した。
今回のマルウエアによる被害が日本で発生したのは10月下旬から。PCに潜入してWebブラウザーの動きを監視。ネット銀行サービスに接続した際にPC内部で「偽画面」を生成する(図)。ログイン画面を表示した際に、暗証番号の再確認を促す偽のポップアップ画面が出るようHTMLタグを付け加える。
検体を入手したセキュアブレインが解析したところ、不正に抜き取った暗証番号などはウクライナのサーバーに送信する。また今回の検体では「Internet Explorer」と「Firefox」などで動作を確認したといい、使用するブラウザーにも依存するようだ。
今回のマルウエアが採った手法は、「海外では普及しているが、日本に本格上陸するのは初めてだろう」(シマンテック)。利用者に予備知識がなく、被害が拡大した。さらにウイルス駆除ベンダーの話を総合すると(1)主要な駆除ソフトで検知できない改造種だった、(2)短期で一気にマルウエアを流通させる大規模作戦を展開した、という公算が大きい。
このマルウエアをウイルス駆除ソフトが検知できなかったのか、ベンダーは確かな情報を提供していない。ただ「金銭目的の犯罪グループなら、主要な駆除ソフトをかいくぐる改造をするのが常識」(あるベンダー)。警視庁はウイルス駆除ベンダーに検体を提供し、11月4日時点でシマンテック、マカフィー、カスペルスキー、トレンドマイクロの主要4社のソフトがマルウエアの駆除に対応した。
現時点でマルウエアの流通経路も不明だ。「犯行グループは駆除ソフトが対応するまでの間隙を突き、効率良くマルウエアを頒布する大規模作戦を展開した可能性がある」とマカフィーは指摘する。
海外では先例がある。12年4~6月、欧米ではより高度な不正送金マルウエアを用いた犯行「Operation High Roller」が発生、60億円以上の不正送金被害が出た。「人手を介さずに現金を引き出すなど、技術水準は今回の比ではない」(マカフィー)。
この事件では、企業も数千社規模で被害に遭ったという。従来の想像を超える脅威は、日本企業にも迫っているのだ。
