【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
バンキング利用者の情報を奪う巧妙な攻撃が発覚──フロリダの3銀行が被害に
(2006年03月29日)
フロリダの3つの地方銀行で、正規のWebサイトにアクセスしたインターネット・バンキング利用者の個人情報が奪われるという事件が発覚した。セキュリティ専門家らは、こうしたタイプの攻撃が確認されたのは初めだとし、警戒を呼びかけている。
今年3月初頭に、3行のWebサイトをホスティングしているインターネット・サービス・プロバイダー(ISP)が運用するサーバに複数の攻撃者が侵入し、利用者の個人情報を詐取していたことが明らかになった。
フロリダ法執行機関のコンピュータ犯罪センターで特別捜査官の指揮を執るボブ・ブリーデン氏によると、攻撃者は正規のWebサイトが送出したトラフィックを、同銀行のサイトに似せて作製したサイトのサーバに転送していたという。
偽のサイトに誘導されたバンキング利用者は、クレジットカードの番号やPIN(Personal Identification Numbers:個人認証番号)などの機密情報を入力するように求められたという。
ブリーデン氏は、攻撃を受けたのはプレミア銀行、ワクーラ銀行、キャピタルシティ銀行の3行。いずれもフロリダの小規模な地方銀行である。
今回の攻撃は、オンライン・コマース・サイトを対象とする点では一般的なフィッシング攻撃に似ているが、正規のWebサイトがクラッカーによって改竄されたという点が異なる。普通の利用者がそうした詐欺行為を見破るのはきわめて困難だ。
通常のフィッシング攻撃では、ユーザー自身に偽のWebリンクをクリックさせる必要があるが、今回の攻撃は、問題の銀行の正しいURLを入力したユーザーが攻撃対象となった。
ブリーデン氏は、これまでに同様の手法が用いられたことはなく、きわめて悪質だと強調したうえで、「根本的な解決策を早急に見つけるとともに、使い慣れたオンライン・バンキング・サイトを閲覧する際にも、十分な注意を払わなければならないことを利用者に周知徹底する必要がある」と述べている。
攻撃が行われたのは「ごくわずかな時間」であり、被害にあったバンキング利用者も20名を下回ったとされているが、この手法は機密性の高い情報を盗み出すという点できわめて巧妙だったと、ブリーデン氏は指摘している。
3行が利用していたISPは、フロリダ州タラハシーに本拠を置くエレクトロネット・インターメディア・コンサルティングである。同社は、消費者のデータを自ら保管していないとし、クラッカーが取得した情報は被害者から直接詐取したものではないかと説明している。
エレクトロネットによると、同社と被害にあった銀行の協力の下、フロリダ法執行機関が今回の犯罪の捜査を進めているという。同社は、攻撃を検知してから1時間以内にクラッキング行為を阻止したとしているが、攻撃が始まったのがいつで、発見までにどれだけの時間を要したかについては明らかにされていない。
インターネット・リサーチ企業のネットクラフトでアナリストを務めるリッチ・ミラー氏は、フィッシング攻撃を駆使して大規模な金融機関を狙うというのが従来の一般的な犯罪の手口だったが、最近では、小規模な地方銀行や食品チェーンを標的としたフィッシング攻撃が見られるようになってきたと指摘する。
今回の攻撃の被害にあったフロリダの地方銀行のような小規模な金融機関は、特に狙われやすいという。「大銀行の場合は、自らのサイトを保護するために、多くのリソースをつぎ込むことができるが、地方銀行はそのような対策は難しい」(ミラー氏)
ブリーデン氏と同様に、ミラー氏もこうした攻撃は今まで見たことがないと話している。
この件に関して、3行からコメントは得られなかった。ただし、プレミア銀行については、フィッシング詐欺の発生を受けて、顧客にパスワードを変更するようWebページ上で呼びかけている。
(ロバート・マクミラン/IDG News Service サンフランシスコ支局)
「URL偽装型」がついに日本上陸。エンドユーザーを守る手だてはあるのか!?
![サイバー・セキュリティ[罪と罰]](/images/_main/200805/SI-107409.jpg)
