急増するネットバンキングの不正送金ウイルス対策にSurface 2

昨年末以降、パソコンへのウイルス感染が原因でネットバンキングへのアクセスの際に入力したID 、パスワード等が第三者に取得され、それらのID、パスワードを不正に利用し、他人名義の銀行口座へ不正送金を行う不正アクセス事案が多発しています。

ネットバンキングに係る不正アクセス被害の防止対策について：警視庁

ネットバンキング普及とともに急増する詐欺：特にウイルス型が厄介

インターネット上の銀行口座を狙う不正アクセスが急増しているようです。

警視庁によると、すでに2014年は5月の時点で2013年1年分に相当する被害が出ているとのこと。

警視庁が今月発表した内容によると、今年は5月9日時点で被害件数が873件にのぼり、被害金額については約14億1700万円と約5カ月間で昨年1年間分をすでに上回っている。

ASCII.jp：わずか5カ月で昨年1年分を上回るネットバンキング詐欺

ネットバンキングは引き落とし元の銀行口座そのものが対称なだけに、危険性もネットショッピングより一段上です。

この詐欺の手口について、「ESET」シリーズのセキュリティ製品を提供するキャノンITソリューションズの調査報告が公表されましたので、それに基づいてSurface 2ユーザーに役立つと思われる内容をまとめてみました。

詐欺の手口は、大別して「フィッシング詐欺（偽サイト）」と「不正送金ウイルス」の2種類

元々、ユーザーをだましてネットバンキングのIDとパスワードをだまし取る手口は、「フィッシング詐欺」として知られていましたが、キャノンの発表では、これに加え、「不正送金ウイルス」の被害が拡大しているとしています。

インターネットバンキングの攻撃方法は、大きく分けて2つの方法があります。
　■ フィッシング詐欺
　■ 不正送金ウイルス
1つ目は、メールなどで不正なサイトへ案内し、IDやパスワードを盗み取る「フィッシング詐欺」です。そして2つ目は、2012年頃から多くなってきた「不正送金ウイルス」です。

フィッシング詐欺は、手口を知っていれば防げる

フィッシング詐欺では、実際に存在する銀行やクレジットカード会社、ショッピングサイトなどを装った「偽メール」が送付され、本物のホームページそっくりの「偽ホームページ」に誘導されます。この「偽ホームページ」では、ID、パスワードなどのログインアカウントの入力が促されます。ここで入力してしまった情報は、銀行からお金を引き出したり、偽造カードを作られたりするために悪用されます。

また、実際送付されてくるメールでは、「システムトラブル」や「セキュリティ対策のため」などを装い、「偽ホームページ」より「ID・パスワード」などの重要な情報を入力するよう巧みに誘導する文面になっています。

[ESET] インターネットバンキングにおける不正送金の手口と対策について | ウイルス・セキュリティニュース | キヤノンITソリューションズ

金融機関を装って送付されてくる偽メールのリンクをクリックし、偽サイトに誘導されてしまうパターンです。

この手口は以前からあるもので、一般社団法人「フィッシング対策協議会」が設立されて対策の普及啓発を行っています。

フィッシング対策協議会 Council of Anti-Phishing Japan | 消費者の皆様へ | フィッシング対策の心得

一言でいうと、「メールのリンクをクリックして金融機関のサイトに飛ぶな！」ということですね。金融機関のサイトにアクセスするときは、検索かブックマークで。メールのリンクをクリックしない。

新たな脅威：不正送金ウイルスに感染すると、正規のサイトが改ざんされより危険

これに対し、「不正送金ウイルス」の方は、もう少し手が込んでいます。ユーザーが金融機関の「本物の」ページにアクセスしても、それがウイルスによって改ざんされてしまうのです。

「不正送金ウイルス」とは、何らかの方法でネットバンキングのID・パスワードなどを盗み、不正送金を行うウイルスのことです。
このとき、「フィッシング詐欺」とは異なり、ユーザーがアクセスするのは正規のホームページであるため、URLアドレスバーを見て詐欺に気付くことは困難です。

「不正送金ウイルス」は、以下のような不正な動作を行います。

不正なポップアップを表示する

Webページを改ざんする

トランザクション処理を書き換える