MITB(Man-In-The-Browser)攻撃とは、Webブラウザーで銀行の手続きを実行するオンラインバンキングの情報を盗聴したり、不正操作したりする攻撃を指す。攻撃者はウイルスを使って偽の画面を作り出し、不正操作に必要な情報を入力させたり、通信の内容を改ざんして不正送金を実行したりする。

 MITB攻撃では、オンラインバンキングの利用者のパソコンにウイルスを侵入させて攻撃を仕掛ける。ウイルスがオンラインバンキングの利用を検知すると、キーボードの入力情報や画面ショットを外部に送信して、IDやパスワードを盗み出す。取り引きに必要な乱数表や利用者しか答えを知らない「秘密の質問」を尋ねる画面を表示して入力させて情報を盗むウイルスもある(の上)。

図●オンラインバンキングを狙うMITB攻撃
偽の画面を作り出し不正操作に必要な情報を入力させたり、通信内容を改ざんして不正送金を実行したりする。
[画像のクリックで拡大表示]

 最近では、ウイルスが銀行のWebサーバーとの通信に含まれる取引内容を改ざんして、現金を詐取する手法も見つかっている(同下)。この方法なら、ワンタイムパスワードを生成する「トークン」を使うサービスでも、攻撃が可能になる。

 本物のサイトを真似た偽のサイトを使うフィッシングと違い、ユーザーはMITBによる攻撃に気付きにくい。銀行のサイトをそのまま使うため、URLは本物のままで、SSLを使ったサーバー認証では検知できないからだ。