オンラインバンクでの操作を書き換えて、攻撃者の指定する口座に送金するといった新種の攻撃「Man in the Browser」(MITB)が拡大している。以前、Android端末でのMITBの危険性を指摘した。その後、マルウエアを使ってFirefoxに任意のアドオンがインストールできてしまう脆弱性を発見した。悪意あるアドオンを使うと、簡単にMITB攻撃が成立してしまう。ここ最近の動向を紹介しよう。

 前回は、新種の攻撃「Man in the Browser」(MITB)がAndroid端末で起こる可能性について解説した。そこでは、(1)root化した端末への侵入、(2)Androidシステム自体の脆弱性、(3)悪意あるブラウザー拡張(Browser Extension)、(4)Class Loading Hijacking脆弱性─の4種類の危険性を指摘。Android OSの挙動を中心に、特に(1)と(2)について解説した。

 今回は(3)の悪意あるブラウザー拡張について、Android版Firefoxで脆弱性が発見されるなど新たな動きがあったので情報をアップデートする。

パソコンでは大規模な被害

 MITBはマルウエアをブラウザー内に侵入させる攻撃だ。マルウエアはWebページの画面を書き換えたり、送信されるデータを書き換えたり、パスワードを盗んだりする。

 具体的には、ユーザーのアクセスをマルウエアが監視して、オンラインバンクへのアクセス時にユーザーが入力した情報を窃取したり、改ざんしたり、セッションを乗っ取ったりする。正規のセッションやパスワードを攻撃に利用されてしまうため、2要素認証やワンタイムパスワードなどで防げない。

 2012年には欧米を中心に大規模な攻撃があり、2カ月間で最大20億ユーザーの被害があった。2012年秋には国内の主要銀行のオンラインバンクでワンタイムパスワードが盗み出される被害が発生した。

 これらはすべてパソコンのブラウザー上での被害である。ただ、最近はスマートフォンを使ったオンラインバンクへのアクセスが増えている。特にAndroidではパソコンに近い挙動をするマルウエアも見つかっている。Android端末に対して、MITB攻撃が仕掛けられる可能性は十分ある。