ネット証券の口座乗っ取りは、フィッシング詐欺に加えてもう1つ別の手口が広がっていることが分かっています。
マルウェアがID,パスワードを盗み出している
日経新聞さんの記事はこちら。
証券口座を乗っ取られた原因について、サイバーセキュリティー専門家であるマクニカ(横浜市)の瀬治山豊セキュリティ研究センター長補佐は「フィッシング詐欺に加えて、もう1つ別の手口が広がっている」との見方を強めている。
別の手口とは、ウェブブラウザーなどが保存するIDやパスワードなどの認証情報を盗み出すマルウエア(悪意あるプログラム)「インフォスティーラー(情報窃取型マルウエア)」だ。
インフォスティーラーは情報窃取に特化したマルウエアの総称だ。端末に感染すると、マルウエアがウェブブラウザーなどに保存された認証情報やキーボードの入力などの情報を収集し、第三者に送信する。
代表例としては「RedLine」や「LummaC2」などがある。
感染させる手口は様々だ。マルウエアが含まれる添付ファイルをメールで送り付けたり、悪意のあるウェブサイトに誘導して不正なコマンドをユーザー自身に実行させる「ClickFix」などの手口を使ったりする。
ウェブブラウザーの拡張機能を悪用する手口もある。マクニカの瀬治山セキュリティ研究センター長補佐は「現在はウェブサイトからの感染が増えている」と指摘する。
インフォスティーラーはウェブブラウザーなどのセキュリティー機能の隙を突いてIDやパスワードなどを窃取する。
例えばグーグルのウェブブラウザー「クローム」は、IDやパスワードなど機密性が高い情報を、基本的にはOSが標準で備えるセキュリティー機能で保護している。ウィンドウズ版であれば「データプロテクションAPI (DPAPI)」と呼ぶ機能で情報を暗号化し、端末に保存する。
ただ、DPAPIは暗号化したときと同じユーザーがログインしている場合、暗号化されたデータを別のアプリケーションでも復号できる仕様となっている。つまり、インフォスティーラーが同一のユーザーとしてコードを実行できる環境であれば、ブラウザーが保存したデータを復号し、窃取できるというわけだ。
マクニカのセキュリティ研究センターに所属する掛谷勇治氏は「現在流通しているインフォスティーラーはほぼウィンドウズを対象としたものだ」と説明する。ユーザーの多さに加えて、前述のようなウィンドウズの仕様を狙い撃ちにしたとも考えられる。
これに対し、クロームもDPAPIを改善する機能などを段階的に追加しているが、被害を撲滅するには至っていない。
まとめ
ネット証券の口座乗っ取りは、フィッシング詐欺に加えてマルウェアも猛威をふるっていることについてご紹介をしました。
対策としてはいつも同じですが、
多要素認証の設定、OS・Webブラウザのパッチ適用、不審なファイルやリンクを開かない、パスワード管理専用ツールの活用しかありません。
パスワード管理ツールは使っていないので、検討します。それとWebブラウザが最新バージョンであるか早急に確認します。
最低限、上から3つは対策をしておくようにしておきたいですね。
コメント