(1) 被害状況

• 被害対象サービス SMBCダイレクト
• 被害件数　数十件
• 発生時期　2014年3月下旬以降
• 被害が確認されているのは個人向けで、法人向け出の被害は確認されていない。*1
• 他大手銀行(セキュアブレインが確認したのは都市銀行を含む５行*2 )でも同様の被害が発生している。*3
• ワンタイムパスワード利用者でも1件の不正送金被害が発生している。*4

(2) 発端

• 2014年4月中旬に利用者から身に覚えのない送金が行われているとの相談が寄せられたことによる。
• 相談の数日前にオンラインバンキングにログイン後、不審な画面に暗証番号を入力していた。

(3) 原因

• 利用者の端末が自動送金を行うマルウェアに感染している可能性がある。
  • SMBCのサーバーでは異常は確認されていない。
  • 一部の利用者のみ不審な画面が表示されている。
  • 相談をした利用者の端末からマルウェアが検出された。

(4) 対応・対策

対応

• 相談後に同様の被害発生がないか調査
• 警察庁へ被害を報告(相談?) *5

対策

• 自動送金を行うマルウェアについて注意喚起
  • 正規の振込画面について確認できる体験版を公開
  • 感染端末で閲覧した際の画面イメージを掲載
  • 事前の対策(マルウェア対策ソフトの利用、振込限度額の設定、取引完了時のメール連絡)について案内
  • 不正送金を確認した際の連絡窓口について案内
• あらゆるセキュリティ向上策を検討*6

(1) これまでの不正送金に利用されたマルウェアとの違い

次の点がこれまでの不正送金に用いられていたマルウェアと異なる。

• ログインした後にプログレスバーが表示され、振込に必要となる暗証番号の入力が求められる。
• 暗証番号入力後、自動的に別の口座(受け皿口座)に送金が行われる。
• ワンタイムパスワード利用者も被害に遭っている。*7

(2) マルウェア感染時の画面表示

マルウェアに感染した状態で三井住友銀行のオンラインバンキングを利用した際に次のような画面表示が確認されている。

• ログインした直後に表示される。
  • 表示されるのは取引開始後という報道もある。*8
• 「ダウンロード中です」「読込中です」といった偽のプログレスバーが表示される。
• 偽のプログレスバーは1、2分程度表示される。
• 振込内容を確認する画面は表示されない。
• 振込に必要となる暗証番号の入力画面が表示される。
  • SMBCの場合は第二暗証番号(暗証カードかワンタイムパスワード)が必要となる。

(3) 今回確認された自動送金マルウェアはMan in the Browser攻撃ではない

• 2012年頃より確認されていたWebインジェクションを行うマルウェアの改良型である。
• 情報窃取後の送金手続きが自動化されただけであり、正規の送金処理自体が改ざんされるとの情報は出ていない。
• 情報窃取から送金まで自動化されたことにより、従来人力では対応が出来なかった1分毎に変更されるOTPを使った認証も突破できるようになったと推測される。

• MITB攻撃については以下の資料に掲載されている
  • (PDF)Man-in-the-Browserの脅威と根本的な解決策(第２回セキュアシステムシンポジウム2014年3月13日)

(4) その他

• 同種のマルウェアは海外では2年前から確認されている。
• アクセスする銀行に応じてダウンロードされる自動送金スクリプトは異なる。