2019年8月24日(土)

HTMLを改ざんしてポップアップを表示、ネットバンクを狙うウイルス
正規サイトに接続していても情報を盗まれる、セキュアブレインが手口を公開

2012/11/9付
保存
共有
印刷
その他

セキュリティー会社のセキュアブレインは2012年11月8日、ネットバンキングの暗証番号などを盗むウイルス(マルウエア)を解析し、その結果を公表した。正規のサイトから送られてきたHTMLファイルを改ざんすることで、偽のポップアップ画面を表示させるという。

図1 今回のウイルスが表示する偽のポップアップ画面(セキュアブレインの情報から引用)

図2 ウイルス感染後の、ログイン画面のソースコード(セキュアブレインの情報から引用)。赤く塗られた部分が、ウイルスによって追加された不正なコード

2012年10月下旬以降、大手銀行が提供するネットバンキングサービスや、カード会社が提供するWebサービスにおいて、偽の情報入力画面が表示される事件が相次いで公表されている。現在までに、ゆうちょ銀行や三井住友銀行、三菱東京UFJ銀行、みずほ銀行、楽天銀行、住信SBIネット銀行、三菱UFJニコスのWebサービスで確認されている。

今回の事件では、正規サイトへのログイン後に、暗証番号などの入力を要求するポップアップ画面が表示される。ポップアップ画面には、それぞれの銀行のロゴなども表示されるので、一見、本物のように思えるが、実際は偽物。入力した情報は第三者に送信される。

偽の情報入力画面を表示しているのは、パソコン上で動作するウイルス。今回セキュアブレインでは、一連の事件で使われたと思われるウイルスの一つを入手し、その挙動を解析した。解析したのは、ゆうちょ銀行のユーザーを狙ったと思われるウイルス。

パソコンがこのウイルスに感染しても、ゆうちょ銀行のネットバンキングサービス「ゆうちょダイレクト」のログインページを表示しただけでは、偽のポップアップは表示されない。ログイン画面に置かれている「次へ」ボタンを押すと、偽のポップアップが表示され、暗証番号や合言葉の入力を促される(図1)。入力した情報は暗号化され、ウクライナに置かれているサーバーに送信されるという。

ポップアップが表示されるのは、ゆうちょダイレクトのWebサイトから送られてきたHTMLファイルに、ウイルスがパソコン上でポップアップのコードを追加しているため(図2)。Webブラウザーは、正規のWebサイトから送られてきたHTMLファイルの一部として解釈し、問題のポップアップを表示している。つまり、正規のWebサイトに接続しているにもかかわらず、パソコンでは偽の情報入力画面が表示される。

同社では、「既存のフィッシングとは異なり、正規のWebサイトにアクセスしているにもかかわらず、不正なポップアップ画面を表示する高度な攻撃です」と解説。ネットバンキングを利用するパソコンでは、ウイルス対策ソフトを必ず使用すること、ウイルス定義ファイル(パターンファイル)を最新の状態に保つことを、防御策として挙げている。

(日経パソコン 勝村幸博)

[PC Online 2012年11月8日掲載]

保存
共有
印刷
その他

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報

新しい日経電子版のお知らせ

より使いやすく、よりビジュアルに!日経電子版はデザインやページ構成を全面的に見直します。まず新たなトップページをご覧いただけます。

※もとの電子版にもすぐ戻れます。