ネットバンキング不正送金被害を絶つ!Webフィルタより重要なDNSセキュリティの必要性とは

はじめに

警察庁が公開した「2023年のサイバー空間をめぐる脅威情報」によると、ネットバンキングの不正送金における被害総額は87.3億円(前年比で474.6%増加)にのぼりました。
また、令和5年におけるインターネットバンキングに係る不正送金事犯の発生件数は5,578件(前年比で391.0%増加)であり、それぞれ過去最多となっています。

不正送金の現状を知りたい方は、こちらのブログをご覧ください。
「不正送金にフィッシングが横行 その現状」

リダイレクト機能が悪用され、マルウェア感染被害も

フィッシングとは、企業等のウェブサイトに見せかけて作成した偽のウェブサイト(フィッシングサイト)を受信者が閲覧するよう誘導し、当該フィッシングサイトでアカウント情報やクレジットカード番号等を不正に入手する手口です。インターネットを使用する際に行うDNSを使ったリダイレクト機能を悪用され、マルウェア感染へ繋がる場合も出てきました。こういったマルウェア感染から、ランサムウェア攻撃の被害に繋がる事例も発生しています。

インターネットは、DNSを基盤に構築をされています。ユーザーが検索を行う【①】と、DNSシステムがドメインの宛先を照会【②・③】し、接続が確立【④】されます。

誰もがお世話になるこの機能ですが、悪用すると、本来アクセスしたかったWebサイト以外のあて先へも、リダイレクトをさせることができます。見たいWebサイトは既に見えているので、ユーザー側は不審なリダイレクト先に気づくことはありません。サイバー攻撃者がまずリダイレクトさせるのは、Dropper (ドロッパー)Serverです。ここから、小さなマルウェアがユーザーの端末へ送り込まれます【⑤】。このマルウェアは、何のOSを使用しているか、どのようなセキュリティソリューションをインストールしているか、脆弱なサードパーティアプリが存在するかなどを調査します。

情報収集マルウェアが手に入れた情報は、Payload(ペイロード)サーバーへ送られます。

ペイロードサーバーでは、届いた情報【⑥】を自動的に分析し、ユーザーの端末を感染させるために、最も成功率が高いマルウェアパッケージを作成します。このパッケージのことをペイロードと言います。 ペイロードがユーザーのマシンにダウンロードされ【⑦】、端末はマルウェアに感染します。

マルウェアに感染すると、ユーザーの端末と攻撃者のC&C(シー・アンド・シー)サーバーの間にバックドアが作成されます。こうなると、ユーザーの端末はC&Cサーバーからの指示に何でも従うようになります。そのため、C&Cサーバーは、Command&Control(コマンド・アンド・コントロール) Serverとも呼ばれます。

ユーザーのマイクやWebカメラを操作して個人情報を盗んだり、政府機関にDDoS攻撃をさせる【⑧】ことも可能ですし、端末のローカルデータや、アクセスできるサーバーの機密データをC&Cサーバーへ送らせる事もできます【⑨】。

マルウェアの91.3%は、DNSの通信を利用

今や、マルウェアの91.3%がDNSを使った通信を悪用しており、サイバー攻撃の基盤になっています。こういった、犯罪者が作成したサーバーや、マルウェアのダウンロードは、Heimdal DNS脅威予防などの製品により、DNSを保護することで防ぐことができます。

導入は簡単で、【③】のように、DNSシステムの前にHeimdal DNS脅威予防を通し、正しいドメインへのリダイレクトは許可、不審なドメインへのリダイレクトを拒否させることで、まず「Dropper Server」へ到達させないようにすることができます。

Heimdal社のDNS脅威予防は、攻撃者が作成した悪質なWebサイトのドメイン情報や、攻撃者が用意したサーバーなどのインフラ情報を基に、攻撃者の取る行動や癖までAIに取り込み、判断をしています。また、DNSハイジャック攻撃も検出可能です。

Webフィルタ以上に、DNS保護は重要な局面に

WebページをカテゴリごとにフィルタするWebフィルタ機能も重要ですが、DNSを使った通信をまるごと保護するDNS脅威予防製品は、国際社会で既に多用されています。URLのドメイン以下を細かくホワイトリスト、ブラックリスト運用することも大切ですが、まず、インターネットの利用に欠かせないDNSを保護することで、「脅威となるサーバーへアクセスさせない」ことが重要といえます。

まとめ

ネットバンキング不正送金被害には、攻撃者が作成した偽ウェブサイトに誘導してIDやPWをだまし取るフィッシングが深く絡んでいます。また、リダイレクト機能を悪用されてマルウェアに感染する被害も出ていることから、DNS通信を保護し、攻撃者が作成したWebサイトや、サーバーへのアクセスを遮断する、DNS脅威予防を運用する必要性が増しています。

ここまでお読みいただき、ありがとうございました。

以上で、今回のブログを終わらせて頂きます。少しでも皆様のご参考になりましたら幸いです。

参考・引用URL 警察庁 令和5年におけるサイバー空間をめぐる脅威の情勢等について

参考 日本経済新聞 2024年3月14日 「ネット不正送金 被害5.7倍」

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

JTC IT用語集
TOP