オンラインバンキングで数百万件のハッキングを可能にする手法とは?
By Stian Eikeland
わざわざ店舗やATMまで行かなくても自宅からカンタンに振込や残高照会がオンラインバンキングで行えるようになりましたが、その弱点を突いた新しいパターンのネットを経由したハイテク銀行強盗により、複数の銀行で数百万のアカウントがハッキングを受けている可能性と今後の迫り来る脅威が明らかになりました。
2012 Threatscape Report
(pdf)http://www.secureworks.com/assets/pdf-store/other/2012.threatscape.report.pdf
Fraudsters target "wire payment switch" at banks to steal millions - SC Magazine
http://www.scmagazine.com/fraudsters-target-wire-payment-switch-at-banks-to-steal-millions/article/307755/
これまで、銀行口座のハッキングというと利用者のログイン情報を手に入れてアカウントにアクセスしお金を吸い出すという方法が採られてきましたが、DDoS攻撃を使った新しい手法が使われているという報告があがっており、ほかにも、銀行員のメールアドレス宛にマルウェアを送りつけてコンピューターを感染させるなどして電子送金を実行・管理するシステムにアクセスするという手が使われています。
By Don Hankins
マルウェアを感染させるツールキットの名前としてはDirt Jumperが挙げられています。2013年4月にDell SecureWorksが発表したレポートによると、Dirt JumperはHTTPをベースとしたDDoS攻撃に特化したC2ボットネットであり、感染すると、ドメインやIPアドレスから攻撃することができ、全てのタスクから新しくスレッドを実行できるようになるため、DDoS攻撃でマシンを遅延させたり、固まらせたりしている間に、アクセスに必要な証明書を抜き取ったり、操作したりできるようになるようです。これは200ドル(約2万円)で購入可能なキットで、詐欺組織は銀行員に対してテストを行い、ロシアやキプロス、中国などの銀行への送金ルートをつなげ、未遂に終わったものの18万ドル(約1770万円)から210万ドル(約2億円)もの大金が送金される計画もあったとのこと。
By @superamit
このDirt Jumperによる被害は国際的に広まっており、特にウクライナ、アメリカ合衆国、ロシアで集中的にアタックされています。2012年9月の段階でFBI、FS-ISAC(アメリカ金融業の情報共有分析センター)、IC3(ネット犯罪申告センター)から、Dirt Jumperに対する共同警戒宣言が発表されており、。銀行員がフィッシングメールなどからリモートアクセスのルートを作成されたり、キーロガーを仕込まれ、銀行の顧客情報などの証明書を盗まれているとのこと。発表されている事実はなかったものの、確認されている事実では、ブラウズされた複数のアカウントから、最高残高のアカウントへアクセスされていたことが明らかになっています。
By *Seth
IT分野の調査・助言を行う企業であるGartner社のAvivah Litanさんは、少なくともアメリカの3つの銀行が過去数ヶ月にわたって「低出力なDDoS攻撃」を受けたことを明らかにしました。この攻撃は銀行の注意やリソースをハッキングからそらすために行われたものだったとのこと。被害を受けた銀行名は伏せられています。
By Robbert van der Steeg
銀行は、顧客から「アカウントがハッキングされている」という報告を受けるまで、電子送金のシステム部分が攻撃されることは想定していませんでした。攻撃によって送金サービスのサイトがダウンしたことで、銀行はお金と同時に信頼を失っており、セキュリティチームは何から優先して直していけばいいのかパニックになっているそうです。Litanさんは、銀行が被害を最小限にするための対策として、DDoS攻撃を受けている間は金銭の入金・送金システムを低速化すべきだと提案しています。
By photosteve101
重大な被害はまだ表面化していないようですが、巨額の送金を可能にするツールキットが出回っていることで世界中で警戒が求められているというのが現状であり、たとえオンラインバンキングであっても「銀行強盗」による被害はあり得るという事実を認める必要があります。
日本ではようやくパスワードの使い回しを狙った攻撃が急激に増え始めたところなのですが、近いうちに今度は海外のようにオンラインバンキングのサイト自体が大規模な攻撃に遭う日が迫りつつあるわけなので、単一の口座に全額預けておくよりも、複数口座に分散しておく方が万が一の被害は少なくなりそうです。その際にはやはり、各サイトごとにパスワードマネージャーやワンタイム認証などを使って各自でセキュリティ対策をすることが肝心、ということになります。
・関連記事
ハッキングで世界24カ国のATMから計45億円を数時間で強奪した手口とは? - GIGAZINE
パンツをかぶった強盗犯をYouTube上で指名手配、再生回数が10万回を突破 - GIGAZINE
Androidアプリの10本に1本がマルウェアという調査結果をTrendMicroが発表 - GIGAZINE
超危険なパスワードをセキュリティ的に安全なパスワードに変える作成方法 - GIGAZINE
大量のパスワードを暗号化管理し一発で自動ログインできるフリーソフト「LoginCode」 - GIGAZINE
・関連コンテンツ