個人を狙うオンライン金融詐欺の新たな手法として、正規のオンラインバンキングとの通信に不正操作を紛れ込ませる「Man in the Browser」攻撃が台頭している。ユーザーにも金融機関にも気付きづらい攻撃手法で、流行した場合には大きな被害の恐れがある。2012年には欧米で合計被害額2000億円の大きな攻撃があったほか、国内でもそれと疑われる攻撃が流行しつつある。

 個人の銀行口座から金銭を盗み出す手法として、「Man in the Browser(MITB)攻撃」が注目を集めている。マルウエアなどでブラウザーを乗っ取り、オンラインバンキングで不正送金するような攻撃の総称だ。サイバー犯罪者による金融詐欺の新しい手法として定着しつつある。

 MITB攻撃ではブラウザーの正しいセッションに便乗して不正操作を紛れ込ませる(図1)。例えば、ユーザーがオンラインバンキングにログインし、送金しようとした場合に、ユーザーが入力した振込先情報をマルウエアが勝手に書き換えたりする。ログインや送金の操作をするのはユーザー自身だから、高度な認証でも回避されてしまう。

図1●Man in the Browser(MITB)攻撃の概略 正規のWebサイト上での操作を乗っ取って、不正を行う攻撃者がブラウザー内に潜む格好となる。
図1●Man in the Browser(MITB)攻撃の概略 正規のWebサイト上での操作を乗っ取って、不正を行う攻撃者がブラウザー内に潜む格好となる。
[画像のクリックで拡大表示]

 さらに、Webサイトの表示内容をマルウエアで置き換える。例えば、送金履歴の表示を書き換えて、ユーザーが本来送金しようとしていた相手に振り込まれたように見せかける。そのため、オンラインバンキングの画面を見ているだけでは、不正利用されていることにはまず気付けない。また金融機関にも、特別な対策を施していない限り、正当な送金操作が行われているように見えてしまう。

 従来はユーザーIDとパスワードを攻撃者に送信するマルウエア「キーロガー」や、ユーザーを偽のWebサイトに誘導して認証情報を入力させる「フィッシング」といった手法が金融詐欺の主流だった。しかし、乱数表やワンタイムパスワードを使った2要素認証、サーバー証明書などのセキュリティ対策のレベルが高まり、攻撃者にとって有効な手法ではなくなってきている。その結果、それらを回避できるMITB攻撃が台頭した。

国内の「偽画面」もMITBの疑い

 既に被害も生じている。2012年には欧米、特にオランダとドイツを中心に「Operation High Roller」と呼ばれる大規模なMITB攻撃による金融詐欺事件があった。2カ月間で最大20億ユーロ(約2000億円)の被害が発生したと報道されている。

 Operation High Rollerで分かったのは、MITB攻撃は個人を対象にした標的型攻撃のような手法であることだ。この事件では、攻撃者は富裕層を対象に、標的型攻撃メールを使ってマルウエアに感染させた。

 具体的な攻撃の流れは以下の通り。ユーザーがオンラインバンキングにログインすると、マルウエアは正規サイトから送られてきたWebページにJavaScriptを挿入して、2要素認証のパスワードを要求する画面を生成する。ユーザーがこの画面で2要素認証パスワードを入力すると、その情報が攻撃者に送られる。

 その後、ユーザーは正規のWebページに戻され、通常の口座の操作を行うことになる。一方で攻撃者は、ブラウザーのセッションを再利用し、盗み出した2要素認証のパスワードを使って、ユーザーによる正当な利用の背後で不正な操作を行う。