金融業界はサイバーセキュリティに相当の資金をつぎ込んでいます。それを考えれば、銀行にサイバー攻撃をしかけるなど、武装した警備員が両脇を固めている厳重な金庫室に押し入ろうとするような行為に思えるかもしれません。

この前提は誤っています。

銀行などの金融機関が市場でも最先端のセキュリティ技術を導入していることは確かです。しかし、利用客がサイバー犯罪者に欺かれて鍵を手渡してしまえば、どんな技術も役には立ちません。攻撃者がモバイルバンキングアプリに膨大なエネルギーをつぎ込んでいる理由は、まさにそこにあります。システムが侵入しやすいからではなく、人間のほうが容易にだませるからなのです。

モバイルバンキングが資金管理の常套手段になっているため、攻撃の兆候を見抜く方法、ひいては自身の身を守る方法を知ることは、かつてなく重要になってきました。

攻撃者がモバイルアプリを悪用してデータを盗み出し、詐欺を実行する手口

以前の攻撃者はまっすぐ金庫を狙いました。ファイアウォールを破る、暗号を突破する、バックエンドシステムの脆弱性を嗅ぎつけるといった手段です。しかし、防御が堅固になってきたため、現在のサイバー犯罪者は銀行そのものをハッキングするより、銀行の利用客を欺くほうが簡単だと考えることが多くなっています。

人を欺いてクレデンシャルを手に入れるほうが、その基盤となるシステムに侵入するより速く、安価で、しかも確実です。特にモバイルデバイスは、セキュリティの低いネットワークからなりすましメール、悪意のあるアプリまで、攻撃対象領域が広い傾向があります。

攻撃者が押し入ることなく侵入できる経緯を以下にまとめました。

Wi-Fi のハッキング

コーヒーショップの Wi-Fi をオンラインバンキングに使っていますか？ もしかすると、カフェラテを注文しているうちに、ほかのものも手渡してしまっているかもしれません。公共 Wi-Fi は確かに便利です。しかし、攻撃者にとっては絶好の狩り場にもなっています。セキュリティの低いホットスポットを使えばログインクレデンシャルなどのデータを傍受したり、マルウェアをデバイスにしかけたりできるからてず。

データ侵害

企業が侵害の予防に投資していても、過去の侵害で取得されたクレデンシャルがダークウェブには今でも大量に存在します。攻撃者はそのデータセットを買ってクレデンシャルスタッフィング攻撃をしかけ、当たりが出るまでユーザー名とパスポートの組み合わせを試行します。2 年前と同じパスワードを今も使っている場合は、そろそろ変更したほうがいいというひとつの目安になります。

ランサムウェア

ランサムウェアは、デスクトップだけの問題ではなくなりました。悪意のあるリンクやファイルからモバイルデバイスにインストールされることもあり、ランサム（身代金）を支払ってアクセスが復活するまで、アプリやデータをロックされてしまいます。仮に支払ったとしても、リカバリできる保証は皆無です。攻撃者は親切な顧客サービスを売り物にしているわけではありません。

キーロガー

キーロガーは、キーボードを標的とする一種のマルウェアです。インストールされると、キーロガーはキーボードから入力される文字を何でも、つまりパスワード、メッセージ、暗証番号までを密かに記録し、そのデータを攻撃者に送信します。

モバイルバンキングを狙うトロイの木馬

正規のアプリに偽装したり、悪意のあるリンクに隠れたりして、モバイルバンキングを狙うトロイの木馬はクレデンシャルや財務データを盗み出します。デバイスにダウンロードされたトロイの木馬は、二要素認証（2FA）のコードを傍受する、本物らしく見える偽のログイン画面をオーバーレイ表示するなどの処理を実行します。しかも、気づかれることはまったくありません。

フィッシングとスミッシング

よくできたメールや、本物らしく見えて緊急性を訴える本文などの形をとるフィッシングとスミッシングは、今もサイバー犯罪者が多用する手口です。メッセージはいかにもそれらしくリンクも妥当で、1 回でもうっかりタップすると、クレデンシャルをごっそり抜き出されてしまいます。

オンラインバンキングで身を守る 7 つの方法

バンキングアプリ自体は通例、安全です。しかし、ここまでに述べたように、サイバー犯罪者は人間を狙うことが多く、脆弱なパスワードや危険なオンライン行動といった単純なミスを突いてきます。財務のセキュリティチェーンの中で強固な鎖の輪の一つになれるかどうかは、ユーザー次第なのです。その方法を以下に挙げます。

• アプリは信頼できるソースからだけダウンロードする。Apple App Store や Google Play などの プラットフォームは、セキュリティ、プライバシー、コンプライアンスのためにアプリとアップデートをスクリーニングしており、悪意のあるアプリや偽のアプリがデバイスに侵入するのを防ぎます。
• 多要素認証（MFA）を設定する。パスワードと他の認証方法を組み合わせる手法です。他の認証方法としては、スマートフォンに届く検証コードが多用されています。ハッカーがパスワードを手に入れたとしても、一意の検証コードがなければログインできません。
• 複雑なパスワードを設定する。アカウントごとに別のパスワードを使用します。英数字と記号を組み合わせると、パスワードははるかに破りにくくなり、ひいては犯罪者がアカウントを乗っ取ることもかなり難しくなります。
• ソフトウェアを更新する。最新のセキュリティパッチが適用されるように、スマートフォン、ノート PC、タブレット、モバイルバンキングアプリ自体を、アップデートが公開されたらすぐに更新します。
• セキュリティアラートを有効にする。事前に設定した制限を超える異常な動作やトランザクションがあったときに通知が届くようにします。
• データ侵害がないかどうか定期的にチェックする。メールやパスワードもチェックの対象にします。haveibeenpwned.com などのウェブサイトを使うと、リスクを簡単に評価できます。情報が危殆化していることを確認したら、ただちにパスワードを変更しましょう。

ほとんどの攻撃は、高度な技術を悪用することで成功しているわけではありません。誰かがリンクをクリックした、不正なアプリをダウンロードした、あるいは本物のように見えるメッセージに返信したために成功しています。

憂慮される事態です。しかし、安心材料もあります。サイバーセキュリティの専門家でなくても攻撃に先んじることはできす。上にまとめた手順を常に守っていれば、最終的に資金やデータを安全に保つことができます。

デジタルトラストに関する最新情報

自動化、コンプライアンス、証明書管理などのトピックについて詳細をご希望ですか？記事を見逃さないようにデジサートのブログを参照してください。