だが、ここでもユーザーがぜい弱点となり、技術的にもぜい弱点があったため、攻撃が成功してしまった。法人口座を持つユーザー企業に対して標的型攻撃が行われ、これらの企業がトロイの木馬型である「Win32/Spy.Hesperbot」というマルウェアに感染してしまった。
このマルウェアは最近の高度なマルウェアの特徴であるC&C(コマンド&コントロールセンター)の指示に従い、その金融機関に合った攻撃手法をダウンロードする機能を持っている。今回の被害では、長期にわたりユーザーの行動を監視する機能、ユーザーが入力したICカードの暗証番号を盗み読む機能、パソコンをリモート操作する機能などがダウンロードされた。
攻撃者は長期のリモート監視を通じて、その口座の残高、入金出金の履歴だけでなく、さらにユーザーが一日の何時に頻繁に離席するか、離席時にICカードがICカードリーダーに挿入されているかを全て把握している。
そして、ICカードがICカードリーダーに挿入されている状態でユーザーが離席した時に、スクリーンセーバーを有効にして気づかれないように不正送金を行う。ICカードの番号は正規のものなので、銀行側は正規ユーザーと攻撃者の見分けがつかない。こうして被害が拡大したのだ。
意外と簡単で完璧な対策
本攻撃を受けた金融機関はICカードを挿したままにしないようにユーザーへ勧告したり、暗証番号の入力をソフトウェアキーボードに変更したりなどの対策を打ったが、その効果は限定的であった。ソフトウェアキーボードに関しては、C&Cを通じてそれをすぐに無効化にしてしまうなどの攻撃手法も進化していったからだ。
上記の攻撃の根本的な解決策として、これらの金融機関が導入したのは下記のようなPINパッド付きICカードリーダーであった。このICカードリーダーは、ICカードの暗証番号をICカードリーダー本体上に入力し、リーダー内で直接ICカードに対して暗証番号を入力し、照合するという機能を持っている。
PCからの暗証番号入力は受け付けず、PCからこのICカードリーダーのキーパッド入力を盗み読むことができないようになっている。従って、攻撃者はICカードのリモート操作もできず、また新しい暗証番号も盗めないため、不正送金が行えないようになった。
IDBridge CT710
USBトークンで電子証明書(PKI)を利用している場合、USBトークン内の秘密鍵を利用する(つまり、ログインや電子署名を行う)際は、暗証番号の入力に加えてトークン本体にあるボタンを押さないと機能しないトークンを利用することにより、同じ効果が得られる。
新しい考え方のセキュリティ対策
今回はさらに高度化するマルウェアの攻撃に対してワンタイムパスワードおよび電子証明書(PKI)の技術で実現できる有効対策について解説した。最終回は、根本的に考え方を見直して導入できる対策、次世代の攻撃に備えてユーザーの利便性を高め、モバイル化の流れにも対応する次世代のセキュリティ技術について解説したい。
- 相原敬雄(あいはら たかお)ジェムアルト株式会社 セキュリティ 部長
- セールスディレクターとしてインターネットバンキング関連の製品やサービスを統括。現職以前は、法人向けのセキュリティ製品を担当し、法人向けセキュリティソ リューションのビジネス発展に貢献する。電子認証ソリューション大手企業の日本支社の立ち上げに従事した経験を持ち、大手金融機関やオンラインゲーム会社をはじめとする法人向けのワンタイムパスワードトークンなど、二要素認証製品の普及を推進。
