パソコンにセキュリティ対策ソフトを導入していないと、マルウェアに感染するリスクが高まります。マルウェアには感染したパソコンのブラウザを乗っ取り、パソコンとWebサーバーとの通信を盗聴したり改竄したりするものがあります。これは「MITB(Man-in-the-Browser)攻撃」と呼ばれており、ネットバンクから不正送金被害の原因の一つとされています。
今回はMITB攻撃の概要と注意点、そして対策方法について徹底解説します。
この記事の目次
MITB(Man-in-the-Browser)攻撃とは
MITB(Man-in-the-Browser)攻撃とは、パソコンで動作しているブラウザを乗っ取り、通信内容を盗聴したり、改ざんしたりする攻撃のことで、中間者攻撃(MITM攻撃)の一つとされています。パソコンに感染したマルウェアがブラウザを乗っ取ることが、MITB攻撃の原因となります。
MITB(Man-in-the-Browser)攻撃の仕組み
MITB攻撃による被害として、ユーザーがオンラインバンキングを利用する際に発生する通信内容を改ざんして、正規の口座ではなく攻撃者が用意した口座に不正送金させるケースがあげられます。
フィッシング詐欺の場合、攻撃者は偽のWebサイトを準備してユーザーを誘導します。しかしMITB攻撃では正規のWebサイトと通信しているユーザーのパソコンのブラウザを乗っ取ります。MITB攻撃のマルウェアに感染したパソコンを使って、オンラインバンキングを利用したユーザーは、適切な相手に送金処理をしたつもりでも、実際には攻撃者の口座に対して送金されてしまいます。しかもユーザーの大半はそのことに気づきません。
MITB攻撃の原因となるマルウェアは、マルウェアが添付されたメールから感染や、メールに記載されている不正なURLにアクセスさせてダウンロードさせたマルウェアから感染します。
このようにMITB攻撃は、インターネットを利用するクライアントパソコンの脆弱性を悪用した攻撃です。そのためサーバーサイドでの対策でMITB攻撃を防ぐことは困難です。
MITB(Man-in-the-Browser)攻撃による被害例
MITB攻撃でどのような被害が発生するのでしょうか。具体的には以下の3つがあげられます。
キーボード入力情報の窃取
MITB攻撃の感染源となったマルウェアによって、パソコンのキーボード入力情報が窃取される可能性があります。通常のキーボードの入力情報だけでなく、ソフトウェアキーボードの入力情報も窃取されることがあります。
暗証番号の窃取(オンラインバンキングなど)
オンラインバンキングで他の口座に送金処理する時に入力する暗証番号が窃取されることがあります。これは先ほど紹介したキーボード入力情報の窃取の一つです。多くのオンラインバンキングでは暗証番号の入力にソフトウェアキーボードが利用できますが、MITB攻撃のマルウェアによってマウスクリックの位置を盗聴されてしまう可能性が高いです。
振込先口座情報の改ざん
MITB攻撃により、オンラインバンキングの利用時に振込先口座情報が改ざんされる可能性があります。これによりユーザーが意図しない送金先に金銭が振り込まれてしまいます。
MITB(Man-in-the-Browser)攻撃の注意点
MITB攻撃を防ぐためには、どのようなことに注意しなくてはならないのでしょうか。
SSLは効果なし(接続先は正規サイトなので)
MITB攻撃を防御するための対策として、SSLは効果を発揮しません。なぜならMITB攻撃はフィッシング詐欺とは異なり、ユーザーが正規サイトに接続することが前提の攻撃だからです。
そもそもSSLとは通信の暗号化と、接続先のサーバーが正規のWebサーバーであることを保証するための仕組みです。マルウェアがクライアントに感染している状態では、パソコン内で情報が盗聴や改ざんされてしまうため、通信の暗号化は効果がなく、正規のサーバーへ接続することが前提であるため、SSLによるサーバー認証も無力です。
ワンタイムパスワードでも防げないケースも
MITB攻撃では、ワンタイムパスワードを使用しても攻撃を防げない可能性があります。MITB攻撃にはワンタイムパスワードを盗聴するタイプのマルウェアが使われることがあり、この場合、オンラインバンキングを使った振り込みにワンタイムパスワードを利用しても、不正な口座へ送金されるリスクがあります。
MITB(Man-in-the-Browser)攻撃への対策
MITB攻撃に対して、どのような方法で対策を取れば良いのでしょうか。MITB攻撃に対して有効な2つの対策方法について紹介します。
MITB(Man-in-the-Browser)攻撃専用の対策製品を導入
MITB攻撃専用の対策製品の導入により、攻撃を防ぐことが可能です。中でもトランザクション認証が効果的です。
トランザクション認証とは、オンラインバンキングで行った取引(トランザクション)が改ざんされていないことを認証して取引できる仕組みです。これにはOCRA(OATH Challenge-Response Algorithm)仕様のワンタイムパスワードトークンを利用します。
OCRA仕様のワンタイムパスワードトークンで作成された署名は、取引内容に対するデジタル署名と言っていいでしょう。署名そのものに取引内容が含まれており、その署名と、署名検証サーバーで作成された署名とで突き合わせて、一致した時に振込を実施します。
パソコンにマルウェアが感染していてブラウザが乗っ取られている場合、攻撃者はブラウザ上からの振込先口座情報の改ざんは可能ですが、トランザクション署名を偽造することはできません。つまりMITB攻撃が仕掛けられても、トランザクション署名が利用されていれば、振込先が不正である場合、そのことをオンラインバンキングのサーバーで検知できるため、不正な振込を停止できるわけです。
マルウェア感染対策の徹底
パソコンにマルウェアが感染しなければMITB攻撃の被害には遭いません。パソコンにセキュリティ対策ソフトを導入して定義ファイルの定期的な更新や、OSやアプリケーションを常に最新のバージョンに保つなどの基本的なマルウェア感染対策の徹底が、MITB攻撃を防御するために重要です。
まとめ
MITB攻撃の概要と注意点、そして対策方法について紹介しました。オンラインバンキングを安全に利用するためにワンタイムパスワードの普及が進みましたが、記事中で紹介したように、通常のワンタイムパスワードではMITB攻撃を防ぐことは困難です。
しかしMITB攻撃に対応したハードウェアトークンも普及しつつあります。MITB攻撃の被害に遭わないためにも、オンラインバンキングを利用する時は、MITB攻撃に対してしっかりと対策している銀行を利用し、パソコンにセキュリティ対策ソフトを導入するなどの基本的な対策が重要です。