エスカレーションするばかりで相変わらず収まる気配を見せない、マルウエアによるオンラインバンキング不正操作。
これまでは全ての入力を横取りして横流しする「キーロガー」や擬装サイトに誘導して認証情報を入力させる「フィッシング」が主流だったが、クリック入力、ワンタイムパスワードや取引確認カードなどによる2要素認証が拡がった為、今度は「MITB(Man in the Browser)」攻撃という新手法が拡がっている模様。
正規のWebサイトの表示内容や通信をマルウエアで横取りして一時的に書換える仕組みで、例えば送金相手の口座番号を裏側で書換えたりしてしまう事から見た目では気付く事は無いハズであり、また「パソコンだけでなくAndroidスマートフォンもその攻撃対象となり得る」というのが厄介なところだ。
現状では完璧に防ぐ手立ては無いので、ユーザー側での対策としては「セキュリティソフト」を最新版にしておく、口座の明細や履歴を定期的にチェックして不可解な入出金があったら速やかに銀行に相談するというのが基本ですかね。
【参照】
●ITpro http://itpro.nikkeibp.co.jp/
┣オンラインで不正送金狙う「MITB攻撃」の防ぎ方 2013年7月10日
┣第1回 銀行口座から金銭盗む「MITB攻撃」、正規の通信へ... 2013年7月16日
┣第2回 「AndroidでMITB攻撃」の可能性、root化は攻撃の... 2013年7月17日
┗第3回 拡大するAndroid端末へのMITB攻撃、Firefoxに新た... 2013年7月18日
●@IT http://www.atmarkit.co.jp/
┗シマンテックが警告、「普段と違う表示に注意」:日本の銀行を標的にした「Zeus」亜種、登場 2013年2月13日
