Tweet

二要素認証とは異なる新たな対策を開発中

FFRI、ブラウザを乗っ取る「MITB攻撃」に警告

2012/08/10

　キーロガーやフィッシング詐欺を悪用して金銭を盗み取るオンライン詐欺が依然として横行している。米国のフィッシング詐欺対策団体、Anti-Phishing Working Group（APWG）によれば、2012年2月に報告されたフィッシングサイトの数は5万6859件に上り、過去最高を記録した。国内でも、複数の銀行をかたるフィッシング詐欺メールやサイトが報告されている。

　こうした状況を踏まえて、金融情報システムセンター（FISC）は「金融機関等コンピュータシステムの安全対策基準・解説書（FISC安全対策基準）」の中で、乱数表やワンタイムパスワードといった、認証方式の強化に触れている。しかし、「実は二要素認証だけでは十分ではない」と、フォティーンフォティ技術研究所（FFRI） 執行役員 技術戦略室長の村上純一氏は指摘する。

　その理由は、マルウェアがWebブラウザを乗っ取り、正しいセッションに便乗して不正な操作を紛れ込ませるMan in the Browser（MITB）攻撃だ。日本ではまだあまり知られていない手口だが、欧米では多数の被害が報告されている。

　先日明るみになった大規模なオンライン金融詐欺「Operation High Roller」でも、MITB攻撃が利用された。ユーザーがオンラインバンクにログインすると、マルウェアはJavaScriptを挿入して本物のサイトを書き換えて認証情報を盗み取る。さらに、ユーザーが行う正規の処理の裏側で送金先を書き換えるなどして不正な処理を行うが、画面に表示されるのは正当な銀行のサイトであるため、ユーザーは被害に気付かない。このOperation High Rollerでは、2カ月間で最大20億ユーロもの被害が生じたとされている。

　MITB攻撃に使われるマルウェアは、コードインジェクションやDLLインジェクションによってブラウザのプロセスに割り込んでイベント情報を取得し、JavaScriptの追加といった不正な操作を行う。「本来、ブラウザのプラグインをより便利に使うための機能が、マルウェアにも悪用されている」（村上氏）。

　フィッシングサイト対策には有効なサーバ証明書も、MITB攻撃では、アクセス先はあくまで正しいサーバであるため見破る手立てにはならない。また、ワンタイムパスワードをはじめとする二要素認証は、キーロガーなどによるID詐取対策には有効だが、MITB攻撃が発動するのは正規サイトへのログイン後となるため回避されてしまう。

　「MITB攻撃のやっかいな点は、正しいサイトで処理を行っているためユーザーが気付きにくいことだ」（村上氏）。

フォティーンフォティ技術研究所 執行役員 技術戦略室長 村上純一氏

　それでも、技術的には対策の余地があるという。例えば、サイトログイン時の認証に加え、決済処理の際に電子署名を組み合わせて改ざんを防ぐという製品がすでにリリースされている。また村上氏によると、フォティーンフォティ技術研究所でも独自に、MITB攻撃からセッションを保護する、一種の「ブラウザプロテクション」製品の開発に取り組んでいるという。

　このツールは、振り込みなど重要な処理を行う際に、その都度オンラインバンクのサイトなどからダウンロードして利用する。起動中のWebブラウザのプロセスに代わって、セキュリティモジュールが組み込まれた新たなプロセスを立ち上げ、そちらで重要な処理を行う仕組みだ。ツールにはコードインジェクションなどへの対策が施されており、「マルウェアがプロセスに干渉する（フックする）余地をつぶしている」（同氏）。同社では2012年内にこのツールを製品化し、リリースする予定という。