2020 年 6 月 12 日 Trevor Collins 著

今週、米国 FBI が、モバイルバンキングアプリの使用増加に関して 警告を公開 しました。国内におけるモバイルバンキングの使用ケースが増えるにつれて、それらのアプリを標的にしたサイバー犯罪者による脅威が増えると FBI は予想しています。

FBI は、2019 年時点で 75% 以上のアメリカ人がモバイルバンキングを使用したと推定しています。また、モバイルバンキングは今年に入って 50% 増加したとする研究もあります。

悪用例としては、偽のバンキングアプリや、偽のログインページ、正規のログインに偽のログインページを重ねるトロイの木馬型攻撃などがあります。悪意のあるページに入力された情報は、攻撃者に直接送信されます。また、バンキングアプリのような特定のアプリを開くまでユーザのデバイス上において休眠状態で潜伏するトロイの木馬もありうる、と警告しています。

「2018 年には、主要なアプリストアで 6 万 5000 件近くの偽アプリが検出され、スマートフォンを利用した詐欺の中でも最も急速に成長している分野の1 つとなっています」

とFBIは警告します。

警告の中では、アプリをダウンロードする際にはスマートフォンの公式アプリストアや銀行のウェブサイトのみを信頼するなど、悪用を回避する方法について概ね有用なアドバイスを提供しています。第 3 者サイトからバンキングアプリをダウンロードすることも避けるべきです。

MFA（多要素認証）をすべてのログインに適用することも有効です。MFA を使えば、パスワードの侵害によるアカウントの乗っ取りはほぼ防げます。レポートでは「どのような形式の 2 要素認証であれ、有効にしておけば、ユーザにとってはメリットがあります」と述べますが、認証方法によっては他の方法よりも優れたパフォーマンスを発揮する場合もあります。ユーザのスマートフォン上でログインページを表示できるタイプのトロイの木馬は、ユーザのテキストメッセージも読み取れる可能性があります。つまりもし SMS メッセージを 2 つ目の認証要素にしていたとすると、トロイの木馬がそれを攻撃者へ転送する恐れがあるのです。可能な場合には、極力安全な MFA アプリ、あるいはハードウェアトークンを認証に使いましょう。アプリ側が承認または拒否の通知を送るプッシュ通知ベースの MFA はアプリを使用する際には最も安全なオプションです。ワンタイムパスワードやアプリからのトークンは、絶対に誰にも渡してはいけません。

また FBI の警告では、大文字、小文字、記号を使って最低 8 文字のパスワードを作成することを推奨しています。しかし、このパスワードの使用に関する FBI の推奨事項は、人間の行動に関する最近の研究や、プログラムがハッシュをいかに高速でクラッキングできるかについては考慮していません。例えば、最低要件を満たす最新のハッシュアルゴリズムを用いたパスワードの場合、ウォッチガードでは、総当たり攻撃で 21 秒以内にパスワードを発見することができました。使用したのはこのようなテストに使うハイエンドのグラフィックカードくらいで、それ以外に特別なものは使用していません。

最低でも 16 文字以上のパスワードを推奨します。例えば「SierraTerrierTexas」のように、名前や場所、日付など、覚えやすいフレーズを使用することでも、総当たりでは決して発見できない、はるかに安全なパスワードが生成できます。また、予想が簡単な単語の使用も避けましょう。これは攻撃者が一般的な単語のリストを組み合わせてパスワードをクラッキングする、辞書攻撃から身を守るためです。

ウォッチガード内でも最近偽のログインページへと誘導する SMS を受け取った社員がいました。その事例についてはこちらで読むことができます。不審なアプリやログインに気がついたら、公式サイトに掲載された、正規であることが保証されている電話番号を使って金融機関に直接連絡をとりましょう。