オンラインバンキングサービスの普及に伴って、オンラインバンキング詐欺も増加しました。実際に、銀行のフィッシング詐欺は、インターネット上で最も一般的な犯罪行為の一種となっています。サイバー犯罪者は、金銭を奪い取る目的で、銀行口座のログイン情報だけではなく、クレジットカードやデビットカードの情報も盗みます。こうしたサイバー犯罪はどのように行われて、個人にどのような影響を及ぼすのでしょうか?
オンラインバンキング詐欺とは
オンラインバンキング詐欺は、実際には、サイバー犯罪者が個人または企業のデジタルバンキング情報を盗み、関連する銀行口座またはクレジットカードにアクセス可能になる場合に起こります。これらの条件が揃ったら、この情報を利用して、口座から直接金銭を抜き取ったり、他の種類の金融詐欺を行ったりします。オンラインバンキング詐欺は、法律上は、銀行のアプリやWebサイトを介して実行される犯罪行為全般を指しています。これには、他人の口座に不正にアクセスし、預金を管理したり送金したりすることも含まれます。
現代の銀行業務は高度にデジタル化されており、攻撃者にとっては、このような犯罪を実行できる機会が数多くあります。銀行は、ますます多くの対策を講じ、デジタルサービスのセキュリティを確保して顧客の口座を保護しようしていますが、こうした攻撃も巧妙さを増しているため、このような詐欺がいつ実行されるかを特定するのは極めて難しく、防止することも困難です。
銀行詐欺の仕組み
サイバー犯罪者は、これまでにない巧妙な手段を使用して、うっかり自身の銀行情報を開示してしまうよう無防備な標的を誘導して、オンラインバンキング詐欺を行うのです。こうした攻撃は、多種多様な手法を取り入れた複合的なものであることが多いため、攻撃を特定することが難しくなっています。そのため、オンラインバンキングサービスを利用する一人ひとりが、これらの攻撃を理解し、攻撃に備えて警戒できるようになる必要があります。オンラインバンキング詐欺には、主に2つの種類があります。アカウント乗っ取り(ATO)と自動送金システム(ATS)です。
アカウント乗っ取り
ATOは、サイバー犯罪者が盗んだ情報を使用して銀行口座を乗っ取るデジタルバンキング詐欺です。このような攻撃では、ソーシャルエンジニアリング技術やマルウェアが使用されていることが多く、最新型の攻撃ではその両方が使用されています。次に、サイバー犯罪者がオンラインバンキング詐欺やATOを実行する際に使用する、典型的な手段をいくつか紹介します。
- フィッシング:銀行のフィッシング詐欺では、フィッシング詐欺師が、標的が利用している正規の金融機関を装って、ログイン情報の確認を要求するメールを送信します。一般的に、このようなメールには、銀行の実際のサイトに見せかけた不正なWebサイトへのリンクが含まれており、そのサイトにログイン情報を入力してしまうと、フィッシング詐欺師がその情報を盗み取るのです。このような理由から、銀行は顧客に対して、銀行がパスワードや暗証番号(PIN)などの機密情報を要求することはないと定期的に注意喚起しています。攻撃が成功する可能性を高めるために、フィッシングメールには、顧客が詳細の確認をクリックしないと銀行口座が凍結またはロックされると記載されていることがよくあります。
- ビッシング:この攻撃はフィッシングに似ていますが、これはメールではなく、電話で行われます。攻撃者は、標的が利用している銀行の職員を装って電話をかけて、通話の中で口座情報やログイン情報を教えるよう働きかけます。この行為によって、攻撃者は、口座の完全なアクセス情報を取得して口座を乗っ取ります。攻撃者が、その後のオンラインバンキング詐欺に利用できる特定の個人情報を入手しようとするケースや、自分に送金するよう標的を直接誘導するケースもあります。
- キーロガー:これは、コンピュータのキーボードの使用を監視する、特定の種類の悪意のあるソフトウェア(トロイの木馬)です。このソフトウェアは、事前に設定されたリストに含まれている銀行のWebサイトにユーザーがアクセスしていることを検出すると、キー入力をログに記録します。こうして実質的に銀行口座のログイン情報が盗まれます。その後、攻撃者がこの口座にアクセスして預金を盗み出します。
- マルウェア:サイバー犯罪者は、必要な情報を盗むために、悪意のあるソフトウェアを使用します。これは多くの場合、銀行の詐欺メールから始まります。これによって、知らないうちにウイルス感染した添付ファイルを標的のデバイスにダウンロードさせます。その後、マルウェアが正規のバンキングセッションを装って、情報を入力するよう標的を誘導します。そして、攻撃者がその情報を入手して詐欺を行います。オンラインバンキング詐欺に使用される特に一般的なマルウェアとして、攻撃者がデバイスを遠隔操作できるようになるリモートアクセス型トロイの木馬(RAT)、ブラウザーと銀行アプリの間でやり取りされるデータを傍受するマンインザブラウザー(MitB)、同じくWebサイトやアプリを介して機密情報を盗むオーバーレイ攻撃、OTPのSMSメッセージを監視するSMSスニッファなどが挙げられます。
- パスワードの収集:総当たり攻撃や辞書攻撃によって、銀行のログイン詐欺を実行するケースもあります。これらの攻撃は、正しいパスワードを見つけるまでランダムにパスワードを推測するというものです。正しいパスワードが見つかったら、攻撃者がそれを使用して関連する銀行口座にアクセスします。
- WiFiネットワークのハッキング:多くのインターネット接続は、サイバー犯罪者によるハッキングの対象となります。これは特に、セキュリティ対策がほとんど講じられていない、安全でない公衆Wi-Fiネットワークに当てはまります。攻撃者は、このようなネットワークをハッキングすることで、銀行情報を含む送受信される情報を盗むことができます。
- SIMスワップ攻撃:この特定のサイバー犯罪は、ソーシャルエンジニアリング技術を使用して標的の電話番号を盗み、それを攻撃者が所有するSIMに移し替えるというものです。これにより、攻撃者は当該の電話番号に関連するすべてのコンテンツにアクセスできるようになります。そして攻撃者が、銀行の正規の多要素認証プロセスの一環としてワンタイムパスワードを受け取って、銀行口座にアクセスできるようにすることがよくあります。
自動送金システム
テクノロジーとサイバーセキュリティが進歩したことで、ATOの実行が以前よりも困難になりました。サイバー犯罪者は、こうしたセキュリティを回避して引き続きオンラインバンキング詐欺を行うために、新しい自動的な手法を開発しました。なりすまし犯罪が検知されるリスクの低い効率的な攻撃を実行する手法です。この手法は、自動送金システム(ATS)と呼ばれています。この手法では、攻撃者は銀行のログイン詐欺に頼る必要がありません。代わりに、この自動システムでは、コンピューターユーザーのアクティビティを監視します。ユーザーが銀行口座にログインしたときに、このマルウェアによって正規のサイトにスクリプトが挿入されて、送金が開始されます。ユーザーが気付いたときには手遅れになっています。この手法では、攻撃者は、ユーザー情報を収集する必要も多要素認証プロトコルを突破する必要もありません。
ATOとATSの比較
これらの2種類のオンラインバンキング詐欺は異なりますが、預金を盗み出し金融詐欺を行うという目的は同じです。ただし、仕組みはまったく異なります。
- ATSの攻撃は、マルウェアによって自動的に実行されます。ATOの詐欺では、ソーシャルエンジニアリングを使用するため、サイバー犯罪者の手作業がある程度必要になります。
- ATSのマルウェアは細部まで調整する必要があり、特定の銀行アプリ用に設計しなければなりません。したがって、この攻撃は非常に面倒ですが、検知するのも難しくなります。
- ATS攻撃は正規の銀行アプリおよびWebサイト内で行われるため、ユーザーがログイン情報を入力するのを待つだけで済みます。つまり、ログイン情報を盗む必要も多要素認証の突破について気にする必要もありません。
なりすまし犯罪の説明
銀行のなりすまし犯罪は、サイバー犯罪者が誰かの個人情報を盗み、金融詐欺を行うというものです。攻撃者は、名前、誕生日、マイナンバーなどの個人情報を入手することで、さまざまな活動を開始することができます。銀行口座のなりすまし犯罪や、さらにスケールの大きいなりすまし犯罪は、被害者に長期にわたって深刻な影響を及ぼす可能性があります。次に、その一例を取り上げます。
- 既存の銀行口座から預金が盗まれる
- 被害者の名前で、新しい銀行口座が開設されたり、新しいクレジットカードが発行されたり、新しいローンの契約が行われたりする
- 医療、年金、失業手当など、マイナンバーに紐付けられた各種社会保障にアクセスされる
- 信用度スコアが悪化する
- 税金詐欺が行われたり、還付金が盗まれたりする
- 住宅ローンなどの銀行融資の返済の不履行が引き起こされる
- メールやソーシャルメディアのプロファイルを含むオンラインアカウントが乗っ取られたり、被害者へのなりすましで不利益がもたらされたりする
- 被害者の個人情報の復元や潔白の証明に、莫大な時間と費用がかかる
- 被害者の個人情報が確実にダークウェブに残る
- 精神面と経済面に大きな負担がかかる
オンラインバンキング詐欺によって個人が受ける影響
残念なことに、銀行口座のなりすまし犯罪は、標的となった個人または企業に甚大な被害を及ぼす可能性があります。もちろん、金銭面での影響は深刻な問題ですが、それ以外にも考慮すべき重要な問題があります。
オンラインバンキング詐欺は、重大な金銭面での影響を及ぼす可能性があります。これは、個人でも組織でも同様に壊滅的な損害になりかねません。盗まれた情報によっては、銀行預金が全額引き出されたり、口座が解約されて新しい口座が開設されたり、信用度スコアが悪化したり、税金詐欺が行われたり、退職後の生活資金が盗まれたり、住宅ローンに影響したりすることがあります。被害者は、こうした攻撃の影響への対応において、弁護士や裁判にかかる費用などで、さらに金銭的な損失が発生することに気付くでしょう。
銀行のなりすまし犯罪は、詐欺の被害者に精神面でも影響を及ぼします。オンラインバンキング詐欺の被害に遭ったことを理解したときに、ショック、怒り、恐怖、無力感など、さまざまな感情が湧き起こります。失ったものを取り戻そうとする中で、被害者に大きなストレスがかかり、この事態を招いた誰かを責めようとすることも珍しくありません。
オンラインバンキング詐欺を阻止することは可能か
現実的には、銀行のフィッシング詐欺などのオンライン詐欺は、確実に回避できるわけではありません。それでも、詐欺が成功する可能性や詐欺の影響を抑えるために、特定の対策を講じることができます。以下のいくつかのヒントを覚えておくとよいでしょう。
- 必ずそれぞれの銀行口座で、使い回しされていないログイン情報を使用しましょう。
- 多要素認証や生体認証を有効にして、セキュリティ層を追加しましょう。
- メールのリンクは決してクリックしないでください。Webブラウザーにアドレスを入力して、銀行の正規のWebサイトに直接アクセスしましょう。
- デバイスにある銀行アプリが本物であることを確認してください。銀行のWebサイトまたは信頼できるアプリストアからダウンロードして、常に最新の状態にしておきましょう。
- 銀行のセキュリティとプライバシーに関する規約をよく把握しておきましょう。たとえば、ほとんどの銀行の規約には、PINを要求することはないと明確に記載されています。
- 銀行口座へのログインは、WEP、WPA、またはWPA2によってセキュリティが確保されたプライベートホームネットワークなどの、セキュアなインターネットまたはWi-Fi接続のみで行うようにしましょう。
- 銀行やクレジットカードの明細を定期的に確認し、疑わしい取引があれば銀行に直接問い合わせましょう。
- デジタルバンキングシステムにログインする前に、仮想プライベートネットワーク(VPN)を使用して、インターネット接続のセキュリティを確保しましょう。
- アンチウイルス製品をインストールして、常に最新のセキュリティパッチを適用して最新の状態を維持して、デバイスを保護するようにしましょう。
銀行のなりすまし犯罪に巻き込まれないために
オンラインバンキングを利用した窃盗は、ますます巧妙になっており、検知するのが難しくなっています。しかし、こうした攻撃は、標的となった個人や企業に対して、経済的、社会的、精神的に重大な影響を及ぼす可能性があります。オンラインバンキング詐欺がどのようなものであるかを理解し、デジタルセキュリティのための各種機能や常識的なセキュリティ対策を導入すれば、サイバー犯罪者によるアカウントの乗っ取りや、デバイスがATSマルウェアに感染する可能性を最小限に抑えることができます。
カスペルスキー プレミアム + 1年間無料のカスペルスキー セーフキッズ。カスペルスキー プレミアムは、AV-TESTのアワードを5つ受賞しています(最高の保護、最高のパフォーマンス、最速VPN、Windows認定のペアレンタルコントロール機能、Android向けペアレンタルコントロール機能の最高評価)。
関連記事やリンク: