RSAセキュリティは2009年9月29日,定期説明会を開催し,オンライン・バンキングなどに関する直近の最新動向を報告した。ここ数カ月の目立った動きとして,Webブラウザを乗っ取ってお金を振り込ませるMITB(Man In The Browser)攻撃の進化を挙げた。MITBを利用する犯罪者のための管理ツールが登場しているという。

 MITB攻撃では,オンライン・バンキングの利用者が金融機関のWebサイトから所望の振込先にお金を振り込む行為をハイジャックして,犯罪者が用意した口座にお金を振り込ませる。振込み先の口座は一般の第三者の口座であり,第三者は,口座から口座へお金を転送する仕事を請け負っている。この犯罪の成功率を向上させるためのツールとして,RSAセキュリティは,振り込み先の口座を有効に活用するための3つのツールを確認した。

 1つ目のツールは,MITB攻撃の標的となる個々の振込元口座と,個々の振込先の口座とのマッチングを管理するコントロール・パネルである。GUI画面を利用して,適切な口座を容易に割り当てられるようにする。2つ目は,口座と口座のマッチング作業を自動化するプログラムである。数ある振込み先口座のリストの中から,個々の振込みトランザクションに最適な口座を検索して割り当てる。3つ目は,振込み先口座情報を蓄積したサーバーから,振り込み先情報が漏えいすることを防止するセキュリティ・ソフトである。

 なお,MITB攻撃の仕組みと手法は,Webブラウザを対象としたトロイの木馬型のマルウエアを使って,オンライン・バンキングの利用者のWebブラウザを乗っ取るというものである。Webブラウザがトロイの木馬の制御下に置かれるため,パスワード入力など,Webブラウザを介したWebサイトの本人認証手続きが無意味になる。利用者が金融機関のWebサイトにアクセスしてお金を振り込む一連の対話型操作の裏で,利用者に気付かれることなく,利用者が発行したHTTPトランザクションの内容やWebサイトが返したHTMLを書き換える。

 金融機関によるMITBへの対策には,いつもと違う振込み先への振込みを監視したり,電話や電子メールなどを用いた追加認証を実施するといったものが挙げられる。RSAセキュリティでは,このためのソフトウエアとして,リスクベース認証ソフト「RSA Adaptive Authentication」を用意。一方,オンライン・バンキングの利用者側では,ウイルス対策ソフトによるマルウエア感染の防止が有効となる。