- 2017年3月22日
- セキュリティについて
ワンタイムパスワードは安全DreamBotに注意せよ
現在、インターネットバンキングで「ワンタイムパスワード」がよく用いられていますよね。
インターネットバンキングで用いられているワンタイムパスワードとは、一定時間ごとに自動的に新しいパスワードに変更され、しかも、一度しか使うことが出来ないパスワードです。
ワンタイムパスワードはそのたびにランダムに変更されるため第三者による推測が不可能で、情報漏えいや盗聴があっても不正ログインを阻止することができると期待され、多くの金融機関で用いられています。
ランダムに変更され、しかも一度しか使用できないパスワード。一見すると非常に安全性の高い、完璧なセキュリティ対策に感じてしまいます。
しかしながら、セキュリティに絶対はなく、ワンタイムパスワードも同様のようです。
JC3(一般財団法人日本サイバー犯罪対策センター)がDreamBotの感染及びこれによる被害の発生を確認し、不正送金などのサイバー犯罪の被害にあわないよう注意を呼び掛けているようです。
JC3とは、サイバー犯罪の実態を解明し、背後に存在する犯罪者らの追跡・特定、そしてその脅威を軽減・無効化するための枠組みとして活動する団体です。
DreamBotとは
金融機関のインターネットバンキング用認証情報を窃取するなどの機能があるため、こうしたマルウェアに感染した端末を使用していると、ID・パスワードなどの情報が窃取され、銀行口座から不正送金が行われてしまうおそれがあります。
さらに、DreamBotは、利用者がインターネットバンキングにログインした際に「セキュリティ上の理由」等を装う偽画面を表示させ、ワンタイムパスワードを窃取して不正な振込を実行する自動送金機能を有するものがあり、警視庁においても注意喚起を実施しています。通常の手続と異なる不審な画面にID・パスワード等を入力してはいけません。
このことからもわかるように、第三者による推測が不可能なランダムに変更されるワンタイムパスワードを使用していたとしても、絶対に安全とはいえないのです。
では、このDreamBotの被害に対してどのような対策を取るべきなのか。ユーザーが取れる対策をみていきたいと思います。
ユーザーが取るべき5つの対策
1. ウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新する。
2. 基本ソフト(OS)や、ウェブブラウザーなどの各ソフトウェアを常に最新の状態に更新する。
3. 予め、利用している金融機関が公表しているインターネットバンキングの手続を確認しておき、インターネットバンキングにアクセスした際に、確認した正規の手続と異なる入力画面等が表示された場合には、ID・パスワード等を入力しない。
4. ワンタイムパスワードや二経路認証等、利用している金融機関が推奨しているインターネットバンキングの不正送金対策を導入する。
5. 意図しないログイン履歴がないか、自分の口座の入出金明細等を定期的に確認する。
やはり一番簡単にできる対策はOSやソフトウェアのアップデートです。常に最新の状態にしておくことで、安全性は非常に高まります。
そして次に大切なのが、自身が利用している金融機関が公表しているインターネットバンキングの手続を確認しておくことです。
通常の手続と異なる偽画面にワンタイムパスワードを入力してしまうと、不正な振込を実行されてしまいます。
繰り返しになりますが、セキュリティに絶対はありません。一般的に安全だと思われているものでも、必要なセキュリティ対策は必ず行う必要があります。
(参照:JC3 インターネットバンキングマルウェア「DreamBot」による被害に注意 2017/03/16)