トップページへ戻る

■MITB攻撃型ウィルスの削除

このページで公開している情報は、
非常に重要な事なので結論から先に書いてしまいます。

不正送金の被害にあわないために。また残念ながら被害にあわれてしまった方は、2重被害にあわないためにも早急な対応が必要です。
内容を理解するしないに関わらず、当ページの説明通りに処理を行って下さい。
不正送金の被害にあわれてしまった方は特に早急な対応が必要です。

MITBウィルス感染の有無を調べる

MITBウィルスとは?

MITB攻撃型ウィルス。初めて名前を聞く方が大半だと思います。
マン・イン・ザ・ブラウザー攻撃を目的としたウィルスで、ゆう貯ダイレクトやネットバンクのサイトにアクセスした時に動きだします。
そしてパスワード等の重要な情報を攻撃者のサーバに送信します。

このMITBウィルスは、ネットバンク等にログインしてから動き出します。
パスワードを知られるばかりでなく、送金先がすり替えられて、まったく別の、つまり犯人の思うままの口座に送金してしまいます。
もちろん送金した本人は気付きません。
また、合言葉も
ゆうちょダイレクト 合言葉を抜き取る画面
上図のようなページを表示して入力させる事で攻撃サーバにその情報を送信してしまいます。
今回私はこの画面で合言葉を入力してしまったのが不正送金された一番の原因です。
合言葉を3ついっぺんに入力させる画面は正規のサイトでは絶対にありませんので、この画面が出たらそのパソコンはMITBウィルスに感染しています。

MITBウィルスの感染の有無を調べる方法

今使っているパソコンがMITBウィルスに感染しているかを調べるのは簡単です。
不正送金対策ソフトのPhishWall(無料)をインストールします。

私は実際に被害を受けたゆうちょダイレクトからダウンロードしましたが、直リンク(別窓)はこちらです。
他のセキュリティソフトと併用できます。

動作は単純です。PhishWallに対応したネットバンクやゆうちょダイレクトのサイトに行くと、
PhishWallの動作 PhishWallの表示シグナル
このようにMITBウィルスの脅威が無い場合には緑色のが3つ並びます。
そしてMITBウィルスに感染していた場合は赤が3つ並びます。
さらには

このパソコンがMITB攻撃型ウィルスに感染している兆候をPhishWallが検知しました、というメッセージが出ます。

現在、全てのネットバンクが対応している状況にはなってませんが、もしご自身が利用しているネットバンクが対応していれば、インストールは必須です。
対応状況はこちらをご確認下さい。(別窓)

MITBウィルスに感染していたらすぐに駆除(削除)する方法

残念ながら貴方のパソコンがMITBウィルスに感染していた場合、すぐに駆除(削除)する必要があります。

MITBウィルスを駆除(削除)するためにいくつかのセキュリティソフト試したのですが、全て検出できませんでした。
@ネット上の無料で使えるセキュリティソフト
AウィルスセキュリティZERO
Bウィルスバスタークラウド
CMIcroSoft 悪意のあるソフトウエアの削除ツール(Windows-KB890830-x64-V5.5)
全て検出できませんでした。

もしかしたらMITBウィルスに感染していないのでは?と思いましたが、ゆうちょダイレクトのサイトに移動すると、あいかわらず赤が表示され、メッセージが出てしまいます。
そこで最後に使用したのが、
gradアンチウィルスアクセラレータFREE版です。
しかしFREE版では検出力が低いと書いてあったので、14日間だけ体験版として無料で利用できる有料版をインストールしました。
1年ライセンス版はアマゾンで売ってます。2,362円と安いので購入してもいいかもしれません。

そしてスキャンした結果がコレです。
gradアンチウィルスアクセラレータでMITBを駆除 MITBウィルスの駆除画面
3つも出てきました。
敵は「unkoq.exe」というファイル名なんでしょうか?

そして駆除後はゆうちょダイレクトにアクセスして赤は表示されず、緑になりました。
しかし、スキャンに要した時間は15時間52分。私のHDD環境はCドライブが200GBでDドライブが300GBの計500GBです。

今回、いくつかのセキュリティソフトでスキャンして検出できなかったのが残念です。
特にウィルスバスタークラウドは1年×3ライセンスで約6,000円。
MITBウィルスは、ターゲットとしているネットバンクサイトにアクセスした時のみ動作する特殊なものであり、通常のウィルス検出に特化したセキュリティソフトでも検出できない場合が多いようです。
私のように無駄な労力を使いたくなければ、はじめからgredを使うのが最良の方法だと思います。
1年ライセンス版で2,362円です。

MITBウィルスを駆除する前と後のIEの動作の違い

私のパソコンはMITBウィルスに感染していました。おかげで198万円の不正送金が行われてしまったのですが…

実は、今思えば、IEの動作がおかしくなっていたのです。

IEを開くとYahooをトップページとして表示されるように設定してある私のパソコンですが、
IEが閉じている状態から開く1回目のみ、メールの上にある広告画像の読み込みに時間がかかります。
数週間前からいきなりそのような状態になり、その時は原因はわかりませんでした。
一回表示されてIEが動作するようになると、その後はどのページに移動しても、また、yahooに戻ってきても通常の速度で表示されます。

が、一度IEを閉じて再びIEを開くと、また1回目だけyahooのメールの上の画像の読み込みに時間がかかります。

テキストや他の画像はすぐに表示されるのですが、メールの上の○印の部分の大きな広告だけ読み込めないのです。
MITBを駆除した後は再びすぐに表示されるようになりました。

この症状に心当たりがある方は、私が感染してしまったMITBウィルスと同種のウィルスに感染している可能性があると思います。

ゆうちょダイレクトで198万円の不正送金

管理人、つまり私が実際にやられてしまった不正送金です。
ゆうちょダイレクトです。
不正送金
わかりますか?
下から3行目。
23-10-30 ペルセツロ ガブリエ 振込 1,980,000 残高 359,315

午前9:35にゆうちょダイレクトからメールが来ました。
「ご依頼のお振込み処理を完了しました。」
というメールだったのですが、もちろん心当たりはありません。
すぐに会社のパソコンからゆうちょダイレクトにログインして確認したら、
ペルセツロ ガブリエという聞いたこともない口座に198万円が振り込まれていたのです。
顔面蒼白です…

すぐに郵ちょのフリーダイヤルに電話したのですが、残念ながら振込みを止めることはできないと言われました。
その時に行ったのは、ゆうちょダイレクトを凍結することだけです。

そして指示に従い、通帳に記帳しました。振込みから約2時間が経過しています。
もちろんその後は警察に行くのですが、
驚いた事に振込みが取り消し処理になっていました。

???状態でしたが、とりあえず不正に送金された198万円は戻っています。
手数料の420円は戻りませんが…

そして警察での事情聴取が1時間です。
ゆうちょからのメールや通帳の写真も撮影されました。私も一緒に写るようにです(汗)

かなり詳しく聞かれました。

私の場合には、運よく不正に振り込まれたお金が取り消しになりました。
すぐにゆうちょに電話したから振込みが止まったのではなく、振込み先の口座が凍結されたからなのです。

犯人が不正送金の処理を行ったのが9時30分前後。
つまり、10月30日の朝はその口座は生きていたんです。

既にその口座が不正送金に利用されているという情報が金融機関には行っていたのかもしれません。
そして私の口座から198万円という大金の振込み手続きがあったので凍結したか、またはちょうど朝一に口座の凍結が決定したのか…
とにかくギリギリで不正な振込みを免れました。

郵貯のサービスセンターに電話していた段階では、不正送金を止めることはできないと説明されていました。
しかし、こちらに落ち度が無ければ、保証という形でお金は戻ってくると説明を受けました。
警察への被害届やいくつかの書類に記入し、お金が戻ってくるのは約2ヶ月後になるのですが。

とにかく私の場合には送金手数料の420円以外は戻ってきたので、面倒な手続きをすることにはならなかったのです。
もっとも、送金手数料の420円も取り戻したい場合には、手続きが必要になるのですが、面倒なので辞退しました。420円はあきらめます。

はじめ、どうしてもわからなかったのが、どうやって郵貯ダイレクトにログインできたか?だったのです。
MITBウィルスに感染していたので、IDやパスワードが盗まれることは理解できます。

が、郵貯ダイレクトの場合、通常ログインしているパソコンと違うパソコンからログインする場合には、合言葉の入力が必須となります。
MITBウィルスに感染してからおそらく10日程度。(上記Yahooトップページの異変から)
その間に合言葉を入力したかを思い出せなかったのです。

そしてMITBウィルスや不正送金の被害についてネットで調べていると、ある事に気付いたのです。
ゆうちょダイレクト 合言葉を抜き取る画面
このセキュリティを入力する画面です。
この画面が出る時点でブラウザを乗っ取られてますので、合言葉の情報を全て盗まれてしまいます。

この画像、よく見て下さいね。

郵貯ダイレクトにログインした後に出ているんです。

ログイン後にアップデートのために合言葉の再確認をしてくれ…と書いてあります。
騙されますよね。
合言葉の入力後には通常通り、ゆうちょダイレクトにログインした状態を保ちます。
気付かないですよね。

「合言葉を3ついっぺんに入力させる画面は絶対に出ない」

という事を事前に知っていれば、この画面が出た時点で気付くのですが、残念ながら知識がありませんでした。
これで、合言葉がなぜ知られてしまったのかが判明しました。
そしてそれが不正送金につながってしまったのです。

ゆうちょダイレクトに限らず、楽天銀行や多くの銀行で振込み時にセキュリティ対策として行っているワンタイムパスワードも場合によっては危険です。
それは、メールで送られてくるワンタイムパスワードの受け取り先が同じパソコンである場合です。
MITBウィルスに感染していた場合、間違いなく盗まれます。

ワンタイムパスワードは携帯メールアドレスを指定しましょう。

埼玉りそな銀行のりそなダイレクトの場合には、ワンタイムパスワードはカードになります。
←りそなダイレクトのトップにある警告より
が、こんな画面に騙されてカードの情報を入力してしまっては、ワンタイムパスワードも盗まれてしまいます。

IDとパスワードを盗まれたとしても、ワンタイムパスワードが分からなければ、口座情報を見ることはできても不正送金は出来ません。
ワンタイムパスワードは死守しなければならないのです。

こんなページを公開している私自身も、不正送金の被害を受けるまでは、「まさか自分が」という思いがあり、MITB攻撃に対してガードが甘かったと反省しています。
セキュリティソフトをインストールすることはもちろん、
gredのアンチウィルスアクセラレータを導入しておくことも必要だと考えています。
   
読んで参考になりましたら、是非「いいね」をお願いします。