三井住友銀行のインターネットバンキングサービス「SMBCダイレクト」について、同行が2014年5月12日に公表した不正送金被害のうち1件は、ワンタイムパスワード(一回限り使えるパスワード)を生成するハードウエアトークンの利用者が対象だったことが分かった(関連記事)。いわゆる「MITB(マン・イン・ザ・ブラウザー)攻撃」だったために、ワンタイムパスワードを使っていたにもかかわらず被害に遭った可能性が高い。国内での不正送金はフィッシング詐欺や「Webインジェクト攻撃」といった手口が主流で、MITB攻撃が検知されたのは珍しい。
今回の不正送金は2014年4月中旬に発生した。利用者が同行のオンラインバンキングにアクセスし、画面の指示に従ってワンタイムパスワードを入力した後、覚えのない口座への振込が行われていたという。このほか、乱数表カードの一部を入力しただけで不正取引が行われた事例も確認された(図)。
MITB攻撃とは、PCなどに感染したウイルスが、Webブラウザーと外部サーバーとの通信を傍受し、一部を改ざんするサイバー攻撃のこと。ウイルスはまず、オンラインバンキングの正規サイトへのアクセスを検知して、活動を開始。利用者に対して偽画面を表示し、固定パスワードやワンタイムパスワードの入力といった認証手続きを踏ませた上で、利用者に気づかれない形で偽の送金先口座と金額のデータを銀行のサーバーに送信する。
かつて欧州で猛威を振るった不正送金詐欺「Operation High Roller」でも、MITB攻撃が使われた。この詐欺による被害額は2000億円規模だったという。ウイルスはWebブラウザーに「しばらくお待ち下さい」といった偽画面を表示させ、時間を稼ぐ。その間に、不正な口座番号と送金額、不正取得したワンタイムパスワードを含む偽情報を銀行サイトに順次送る。今回の不正送金も、こうした過去の攻撃事例と類似する。
これまで国内で多発していたのは、偽のパスワード入力画面などをポップアップで表示するWebインジェクト攻撃だった。Webインジェクト攻撃も、ウイルスが介在して偽画面を表示する点、URLが正規サイトと同一という点は、MITB攻撃と似ている。
ただしWebインジェクト攻撃では、リアルタイムで不正送金を行うことはできない。Webインジェクト攻撃は、いわば、ウイルスを使ったフィッシング詐欺。偽画面に入力させたパスワード、秘密の質問、乱数表などの認証情報を盗み、時間をおいてから不正送金に悪用する。このため、一定期間のみ有効なワンタイムパスワードを使っていれば被害を防げる可能性が高い。
一方、MITB攻撃では、ワンタイムパスワードの有効期限内にリアルタイムで不正送金を実行する。日本でもハードウエアトークンによるワンタイムパスワードの利用が進んだために、MITB攻撃が登場した格好だ。
同行のカード型トークンには、ワンタイムパスワードの生成を工夫することでMITB攻撃などの中間者攻撃を防ぐ拡張機能もあるが、現時点ではその機能は有効になっていない。同行は「あらゆるセキュリティ向上策を検討する」としている。
