MITB(Man in the Browser)攻撃は預金を盗む最悪の敵

数あるWebサイトの中でも、銀行などの金融機関が運営しているものは、セキュリティ対策は万全です。

しかも、セキュリティのレベルを更に向上することができる仕組みを、次々と導入しています。

そのため、完全に信用している人が、大多数ではないでしょうか?

もちろん、それは間違いではありません。

それでも、ニュースでは、銀行の公式サイトの偽物が発見された、又は、不正に送金された、と言うような話題が取り上げられているようです。

 

偽物のサイトで入力したIDや、パスワードが、盗まれることは当然にしても、金融機関の公式サイトを利用しているにもかかわらず、お金を騙しとられる可能性が実際にあるようです。

それが「MITB(Man in the Browser)攻撃」と呼ばれているものです。

この名称から推測すると、インターネットを閲覧するアプリである「ブラウザ」を、悪利用するようですが、実際にはどのような手法でしょうか?

 

MITBとは?

Man in the Browserの略称であり、感覚的には、パソコンなどの通信端末で、インターネットを閲覧する際に利用する「ブラウザ」の中に、あたかも知らない人が存在していて、その人が自由に振舞っているようなイメージです。

もちろん、その架空の人は善人とは程遠い存在です。

問題なのは、銀行などの正規のサイトへログインしても、実際の振込先が、全く別の口座であるところです。

しかも、画面の表示を確認しても、正しい振込先へ入金されたように表示されます。そのため、どんなにログイン時のパスワードを複雑にしても対抗することができません。

特に、セキュリティ対策を取っていないか、完全でない状態の通信端末を利用して、インターネット経由で、振込などを行う場合に危険性が倍増します。

一般的に提供されているセキュリティ対策ソフトをインストールした端末であれば、このような問題を発生するマルウェア(不正プログラム)の侵入を簡単には許しません。

しかし、実際には、2012年に、欧米で、合計して2000億円規模の被害が発生しています。

日本国内でも、同様の手法と思われる攻撃が確認されています。

 

MITBの対策

そもそも、インターネットを閲覧するブラウザに、巣食うタイプであり、銀行などへログインする際のパスワードを変更しても効果は期待できません。

そうなると、金融機関側の対応によって、振込の際に、別の手段による認証手続きを、併用することによって、この種の攻撃に対抗することが考えられます。

また、最近では、入金などを行う際には専用のツールを銀行の公式サイトからダウンロードする手法が開発されました。

 

この手法では、一般的なブラウザよりも、数段高いレベルのセキュリティ対策を講じた専用ツールを利用します。

例え、マルウェアに感染している端末からでも、安全にオンラインで振込などを行うことが可能です。

最近のシステムでは、振込を行うと、電子メールの形で振込の確認が送信されますので、その中に記憶にない出金があれば、すぐに金融機関に確認することによって、少なくともそれ以上の被害を防ぐことが可能です。

便利な仕組みであれば、必ず、と言っていいほど、悪利用する人が存在することを再確認する必要があります。

 

MITBに対抗し続けるには

常に、利用する通信端末の状態を最新の状態に維持すること、及び、万全なセキュリティ対策を行うことによって、基本的には、取ることが出来る対策は、終わっていることになります。

しかし、次々と発見されている、インターネットの脅威に対する知識がないと、思わぬ問題が発生してしまいます。

 

もう少し知識があれば、気が付いたのに、と後悔しても、取り返しがつかないのが、このような脅威の特徴です。

これまでの攻撃方法の仕組みを理解していれば、初めて直面する事態に対しても、後から後悔することのない対応を取ることが可能となります。

金融機関によって、オンライン上の取引に対するセキュリティ対策に違いがありますが、新しいセキュリティ対策を、積極的に採用しているところを、できるだけ選択すべきではないでしょうか?