ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-05-12

三井住友銀行等で発生している自動送金するマルウェアを使った不正送金に関連する情報をまとめてみた

| 00:08 |  三井住友銀行等で発生している自動送金するマルウェアを使った不正送金に関連する情報をまとめてみたを含むブックマーク

三井住友銀行が注意喚起をした自動送金するマルウェアを使った不正送金の手口についてここではまとめます。

三井住友銀行で発生した自動送金マルウェアによる不正送金の概要

2014年5月12日、三井住友銀行が同社のオンラインバンキングの利用者を対象にした不正送金被害が発生していると注意喚起を発表しました。不正送金の被害を受けた原因は利用者の端末がマルウェア感染していたためとみられています。

(1) 被害状況
  • 被害対象サービス SMBCダイレクト
  • 被害件数 数十件
  • 発生時期 2014年3月下旬以降
  • 被害が確認されているのは個人向けで、法人向け出の被害は確認されていない。*1
  • 他大手銀行(セキュアブレインが確認したのは都市銀行を含む5行*2 )でも同様の被害が発生している。*3
  • ワンタイムパスワード利用者でも1件の不正送金被害が発生している。*4
(2) 発端
  • 2014年4月中旬に利用者から身に覚えのない送金が行われているとの相談が寄せられたことによる。
  • 相談の数日前にオンラインバンキングログイン後、不審な画面に暗証番号を入力していた。
(3) 原因
  • 利用者の端末が自動送金を行うマルウェア感染している可能性がある。
    • SMBCサーバーでは異常は確認されていない。
    • 一部の利用者のみ不審な画面が表示されている。
    • 相談をした利用者の端末からマルウェアが検出された。
(4) 対応・対策
対応
  • 相談後に同様の被害発生がないか調査
  • 警察庁へ被害を報告(相談?) *5
対策

自動送金を行うマルウェアに関する情報

f:id:Kango:20140517053257p:image:w640

(1) これまでの不正送金に利用されたマルウェアとの違い

次の点がこれまでの不正送金に用いられていたマルウェアと異なる。

(2) マルウェア感染時の画面表示

マルウェア感染した状態で三井住友銀行のオンラインバンキングを利用した際に次のような画面表示が確認されている。

(3) 今回確認された自動送金マルウェアはMan in the Browser攻撃ではない
  • 2012年頃より確認されていたWebインジェクションを行うマルウェアの改良型である。
  • 情報窃取後の送金手続きが自動化されただけであり、正規の送金処理自体が改ざんされるとの情報は出ていない。
  • 情報窃取から送金まで自動化されたことにより、従来人力では対応が出来なかった1分毎に変更されるOTPを使った認証も突破できるようになったと推測される。
(4) その他
  • 同種のマルウェアは海外では2年前から確認されている。
  • アクセスする銀行に応じてダウンロードされる自動送金スクリプトは異なる。

インシデントタイムライン

  • 2014年3月下旬
    • SMBCのユーザーを狙った自動送金マルウェアによる不正送金の被害が発生し始める。
  • 2014年4月中旬
    • SMBCへ身に覚えのない送金があると利用者から相談が寄せられる。
  • 2014年5月12日
    • SMBCが不正送金を自動送金マルウェアによる不正送金の被害が発生していると注意喚起。

参考

更新履歴

  • 2014/05/12 PM 新規作成
  • 2014/05/13 AM 第二暗証番号の記述が正確でなかったため修正。徳丸さんと高木さんのTweetを引用。
  • 2014/05/13 AM ワンタイムパスワード利用者の被害件数について記載。
  • 2014/05/13 PM 最新の情報を反映。
  • 2014/05/17 AM 最新の情報を反映。