多要素認証を突破するリアルタイム型フィッシング詐欺

多要素認証を突破するリアルタイム型フィッシング詐欺
2024.2.22

令和5年12月25日に、警察庁と金融庁よりインターネットバンキングに係る不正送金被害の急増について注意喚起が発出されました。
急増の要因としてフィッシングメールとフィッシングサイトが挙げられています。しかし、インターネットバンキングでは、多要素認証の利用が進んでおりフィッシング攻撃に強いはずです。では、なぜフィッシングサイトによる不正送金被害が急増しているのでしょうか。
本コラムでは、ワンタイムパスワードを利用した多要素認証を突破するリアルタイム型フィッシング詐欺について解説します。

セキュリティ無料相談

目次

不正送金の発生状況

不正送金の発生状況は令和4年まで増減を繰り返しているものの、2,000件は超えない数字で推移していました。ところが令和5年は5,147件(令和5年12月8日時点における暫定値)と過去最多となっています。
また、被害額も平成27年の30.7億円が最高だったものが、令和5年は80億円を超え過去最高となっています。

不正送金の発生状況

(出典:金融庁 インターネットバンキングによる預金の不正送金事案が急増しています。

被害の多くはフィッシングメールとフィッシングサイトによるものとみられています。
不正送金が急増していることは令和5年8月8日に警察庁と金融庁が注意喚起を発出しており、上半期(1月~6月)ですでに2,322件を超えていました。しかし、令和5年12月8日時点で5,147件であることから、注意喚起をしているにもかかわらず下半期はさらに増加していることがわかります。
フィッシングサイト、フィッシングメールは、企業側で対策を行うことが難しく、個人の対策に頼る部分が大きくあります。
企業側も多要素認証の導入で対策を行っていますが、2019年頃より増加しているリアルタイム型フィッシング詐欺の影響が大きく影響しています。

リアルタイム型フィッシング詐欺とは

リアルタイム型フィッシング詐欺を説明する前に、インターネットバンキングにおけるワンタイムパスワードの認証について説明します。

インターネットバンキングにおけるワンタイムパスワード認証

インターネットバンキングにおけるワンタイムパスワードは、キャッシュカードという物理的な媒体なく送金ができてしまうネットバンキングを、不正送金から守るための対策であり、重要な操作を行う際に追加の認証情報を求める仕組みです。

インターネットバンキングの利用者が、ログイン後、重要な操作を行う際に追加の認証情報が求められます。追加の認証情報は専用アプリケーションを利用したり、SMSであらかじめ指定された電話番号に届きます。この認証情報は、専用のトークンであったり、正規の電話番号が設定されたスマートフォンなど、そのひとしか持っていないはずの「所有要素」をもとに守られています。

ワンタイムパスワード

重要な操作とは、出金(振込)、ワンタイムパスワードやログイン通知の送信先である電話番号、メールアドレスなどの変更があげられます。 ログインIDとパスワードがセキュリティの入口対策とすると、ワンタイムパスワードは出口対策となります。

ワンタイムパスワードは1分程度の短期間しか有効ではない期間限定のパスワードであるため、たとえ漏えいしても問題ないはずのものでした。

ワンタイムパスワードを突破する手口

ターゲットとなるインターネットバンキングの利用者とのやり取りをリアルタイムに行い、1分程度しか有効期限のないワンタイムパスワードも含めて窃取することにより、不正な操作を行うことがリアルタイム型フィッシング詐欺です。

手口は、通常のフィッシングサイトと同様に、利用者に正規サイトになりすましたフィッシングサイトにログインさせIDとパスワードを窃取します。
その後、利用者にはワンタイムパスワードの入力を求めるフィッシングサイトを表示させます。攻撃者はその裏で窃取したログインIDとパスワードをリアルタイムに正規サイトに入力、不正にログインし、必要な操作(振込や設定内容変更)を行います。
SMSでワンタイムパスワードを送信させるシステムであれば、送信依頼の処理を行い、正規のワンタイムパスワードを利用者宛てに送信させます。
利用者がフィッシングサイトに表示されたワンタイムパスワードを求める表示に応じて、専用アプリで発行したり、正規サイトから送信されたワンタイムパスワードをフィッシングサイトに入力してしまうことにより、ワンタイムパスワードを窃取されてしまいます。

リアルタイム型フィッシング詐欺のイメージ

このように、ログインID、パスワード用のフィッシングサイトと、ワンタイムパスワード用のフィッシングサイトを用いる方法がリアルタイム型フィッシング詐欺で、令和5年に急増している不正送金事案はリアルタイム型フィッシング詐欺が原因ではないかと考えられています。

対策

ひと昔前のフィッシングメールやフィッシングサイトは、日本語の言い回しや文字化けなど違和感があるものでした。しかし、現在のフィッシングメールやフィッシングサイトは正規のWebサイトの見た目を忠実に再現しており、見た目で判断することはできません。

ドメイン名の確認

フィッシングサイトは正規のサイトに似たURLを使用します。これは仕組み上サブドメインが簡単に作成できてしまうためです。

例えば、綜合警備保障株式会社のコーポレートサイトはhttps://www.alsok.co.jpです。
綜合警備保障株式会社はalsok.co.jpの前に好きな文字を追加できます。この文字をサブドメインといいます。
以下のようにドメイン名の前にexampleという文字列を追加することができます。

サブドメイン

しかし、仮にexample.co.jpというドメインを所有する企業があったと仮定するとhttps://www.example.co.jpというURLに勝手にalsokという文字列を追加してhttps://www.alsok.example.co.jpというURLを作成することが仕組み上簡単にできてしまいます。

サブドメインの悪用

重要なポイントは、トップレベルドメインや、セカンドレベルドメインの前の文字に注目することです。
サブドメインの部分に見慣れた企業の名前があったとしても、そのURLが正規のドメインであるとは限らないため注意が必要です。

正規ルートでアクセスする

インターネットバンキングやオンライン証券など、大きな資産を動かすシステムは専用のアプリケーションが用意されていることが多くあります。
日常的に専用アプリからアクセスしたり、公式Webサイトのトップページからアクセスするよう習慣づけるようにすることで、フィッシングサイトを避けることができます。
また、使用している銀行などのWebサイトでは、銀行側が使用するメールアドレスのドメインや、WebサイトのURLを公開し、それ以外は詐欺の可能性がある旨を表示していますので、一度確認しておくと良いでしょう。

判断力が落ちているタイミングは操作しない

フィッシングメールは深夜に送信されることがあります。
これは、寝起きの判断力が落ちているタイミングを狙っていたり、サポート窓口が閉じているタイミングを狙っていることが挙げられます。
攻撃者は、狙った相手に対して緊急事態や重要な情報があると連絡し、冷静な判断が難しい状況を作り出します。
飲酒時など正常な判断ができないときには重要なシステムの操作を行わないようにしましょう。

日ごろからの訓練

フィッシングメールは、標的型攻撃メールと異なり万人に当てはまる内容を不特定多数に送信されます。日ごろから標的型攻撃メールの訓練をしておくことでフィッシングメールに対する対策となります。
ALSOKではご担当者様の負担を最小限にしたメール訓練のサービスを実施しております。
効果的かつ手軽な対策をお考えであれば、お気軽にお問い合わせください。

まとめ

サイバー攻撃が巧妙化するなか、多要素認証までも突破する手口が存在します。
システムに用意されている多要素認証の仕組みを活用することはもちろんのこと、自身でも落ち着いた判断、普段と異なる例外的な操作に気を付けるなど、身を守るようにしましょう。

セキュリティ無料相談