ここまで言って大丈夫!?ターゲットに気づかれずに銀行口座を盗む方法。足立照嘉（サイバーセキュリティ専門家、投資家）

「ハッキングの脅威」とはいっても、では、たとえば銀行口座はどうやって盗まれるのか？　そこまでわかっている人はなかなかいない。
話題の新刊『サイバー犯罪入門　国もマネーも乗っ取られる衝撃の現実』より、あまりに狡猾で恐ろしいハッカーの手口を、特別公開！
こんな攻撃をされて、我々の生活は大丈夫か！？

＊＊＊＊＊

◆銀行口座情報の盗み方

　では、実際に、どのようにして銀行口座情報を盗み出すことができるのかを見ていこう。
　昔からスパイ映画などでは、敵対する組織に潜伏することで重要な情報を盗み出すというシーンがよく見られるが、ハッキングの世界でも同じような発想を用いることがある。
　2012年に起こった「オペレーション・ハイローラー(Operation High Roller)」という事件は、次のような手口だった。
　まず、
(1)被害者のパソコンをマルウェアに感染させるところから始める。ちなみに、サイバー犯罪のニュースなどでもよく耳にする「マルウェア(malware)」とは、悪意のある(malicious)ソフトウェア(software)の総称であり、コンピュータ・ウイルスなどはその一つである。マルウェアに感染させる方法は、まず取引先を装った偽メールを送りつける。「見積書」などの名前を付けた添付ファイルにマルウェアを仕込んでおくのだ。被害者はいつもの取引先から届いたメールということで安心し、何のためらいもなく添付ファイルを開く。その瞬間にマルウェア感染してしまう。その他にも、被害者がよく訪れるウェブサイトに不正侵入し、そのウェブサイトにアクセスしてきた人のパソコンに自動的にマルウェアが感染するような仕組みを作っておいてもよい。
　何かしらの方法で、被害者のパソコンはマルウェアに感染するのだが、その動作は巧妙に仕組まれており、驚くことに、被害者はマルウェア感染していることに気付いていないことがほとんどだ。
　マルウェアは、メールの添付ファイルとして仕込まれている以外にも、ウェブサイトからダウンロードしたファイルからの感染。また、拾ったUSBメモリの持ち主を確認するためにパソコンに差し込んだ時に感染することなど経路は多岐にわたるが、「マルウェアに感染した3件のうち2件は、メールの添付ファイルとして届いたものであった」ということが、米国通信企業ベライゾンの調査で分かっている。
(2)ある日、この被害者は、取引先への支払いを行うために、インターネット・バンキングを利用することになった。マルウェア感染している状態のパソコンを用いて(当然、被害者本人は、感染していることに気付いていない)。パソコンでインターネット・バンキングのログイン画面を表示させようとしたまさにこの時、それまで潜伏して大人しくしていたマルウェアが動き出す。この被害者がログインすると、パソコンのブラウザが乗っ取られ、ハッカーによって自動での不正送金プログラムが作動してしまう。ブラウザとは、Internet ExplorerとかSafariとかGoogle ChromeやFirefoxなど、パソコンでインターネットを見る時に使っているいつものそれ、である。
(3)ハッカーにとって、被害者のブラウザは遠隔操作できる状態になっている。そこで、被害者のブラウザから自動的に不正送金が行われ、あらかじめ用意しておいた口座に、被害者の口座から送金を行ってしまう。もちろん、送金する先の口座も、どこかから盗んできたような口座なので、ハッカーの実名が口座名義人として表示されるような間抜けなことはない。不正送金の処理を行っている最中は、「読み込み中」などの偽物のメッセージがいつものように表示されているため、被害者も気にも留めていない。
　こうして、被害者の銀行口座からお金を盗み出すことに成功してしまう。
(4)不正送金で盗んだお金は貯金していてもしょうがないので、海外送金を経て、一度国外の銀行から引き出し、後に別の送金サービスで、さらに別の国へと送金するなど、匿名性を高めることで追跡を困難にしてから引き出すことになる。

◆被害に遭ったことに被害者自身が気付かない、悪魔の方法

　ここでポイントとなるのは、被害者がインターネット・バンキングに“正しい方法でログインした後”で、ブラウザが乗っ取られている、ということ。そのために、インターネット・バンキングのパスワードや通信の暗号化をどれだけ強力なものにしても、防ぐことができない可能性が高いのだ。銀行のシステム側から見ても、正しい手順でログインされたパソコンからの通信のため、不正な操作であることに気付きづらい。
　このような事件の被害者にならないためには、どうしたらいいのだろうか？ 言えることはシンプルだ。マルウェアに感染した時点、もしくはマルウェアに感染する前の時点で、気付かなくてはならない。
　このような一連の手口は、マン・イン・ザ・ブラウザ(Man in the Browser、単にMITBと略すこともある)と呼ばれ、2008年頃から見られるようになった。マルウェアと遠隔操作によって、ブラウザの中に潜伏していたハッカー(ブラウザの中の男)によって行われる“二人羽織”のような形をした手口のため、このように名付けられている。
　米国セキュリティ企業のマカフィーと、米国金融犯罪調査会社のガーディアン・アナリティクスとの調査によると、この「オペレーション・ハイ・ローラー(Operation High Roller)」という事件では、2ヶ月の間に欧州・米国・中南米の1万4000以上の金融機関から6000万ユーロから20億ユーロ(およそ60億円から2000億円)にのぼる不正送金が行われた。
　ハッキングを伴うこの不正送金事件は、複数の犯罪グループによって行われたのだが、いくつかのグループでは、日本円換算でおよそ1億円以上の預金残高がある銀行口座から、最大で3％(1億円の預金残高がある場合、300万円)ずつを上限に、こっそりと抜き取ってしまうという方法を取った。しかも、被害者のブラウザには「抜き取られる前の残高」が表示されるようにハッカーが細工した偽画面が表示されるため、すぐには被害に遭ったことに気付けない。
　例えば、私の預金残高が1万円だったとしよう。実際には、3％相当の300円が盗まれてしまっているので預金残高は9700円になっているが、インターネット・バンキングでパソコンから見てみても、ハッカーが精巧に作り上げた“偽画面”が表示されているので、預金残高は1万円のままである。
　ある日、ネット通販で買い物をしたので、商品代金として6000円を振り込むことになった。すると、実際には預金残高9700円の銀行口座から6000円を振り込むので、預金残高は3700円になる。しかし、“偽画面”によって4000円があるように表示されている──。
　ここでハッカーが巧妙なのは、「盗む上限を3％としている」ことだ。いくら偽画面で預金残高が減っていないように表示されていたとしても、「あるはずの(とあなたが思っている)額を振り込もうとしたら、エラーが出てしまった」ならば、「あれ？ あるはずのお金がない。調べてみよう」ということになる。例えば、私の1万円のうち8000円を盗んでしまうと、気付かれやすいのだ。
　しかしこれがわずか3％であれば、何かの拍子に「あれ？ 思っていたよりも残高が少ないなあ」となったとしても、「何かの手数料を差し引かれたのかな」くらいにしか考えず、よほど小まめに記帳してチェックしている人でもない限り、気付くことは難しい。
　これは預金残高の多寡に関係ない。実際、この事件で被害に遭った「1億円以上の預金残高がある口座の所有者たち」は、すぐに気付くことはなかった。
　では、重要な情報も持たず、さしたる友人もおらず、そしてお金も持っていなければ狙われることはないのかというと、そういうわけでもない。
　あなたにはまだまだ利用価値があるのだ。後ほど第4章「これが、ハッカーのやり方だ。……」で詳しく述べていくことにする。