オーバーレイ攻撃とは?銀行アプリの偽ログイン画面で認証情報が盗まれる仕組みを解説

スマートフォンを狙うサイバー攻撃は年々高度化しており、近年では「オーバーレイ攻撃(Overlay Attack)」による金融アプリへの攻撃が増えています。

オーバーレイ攻撃は、正規の銀行アプリや決済アプリの上に偽のログイン画面を表示し、利用者が入力したID・パスワードやワンタイムパスワード(OTP)を盗み取る攻撃手法です。

通常のフィッシングサイトとは異なり、利用者は本物のアプリを起動しているため、不正に気付きにくいという特徴があります。

本記事では、オーバーレイ攻撃の仕組みや被害事例、企業が実施すべき対策について解説します。


オーバーレイ攻撃とは

オーバーレイ攻撃とは、スマートフォン上で正規アプリの画面に偽の入力画面を重ねて表示し、認証情報を盗み取る攻撃です。

「Overlay」は英語で「重ねる」という意味があり、その名のとおり攻撃者は本物の画面の上に偽画面を表示します。

利用者は本物の銀行アプリを起動しているつもりでも、実際には攻撃者が表示したログイン画面へ

  • ユーザーID
  • パスワード
  • ワンタイムパスワード(OTP)
  • 暗証番号

などを入力してしまいます。


オーバーレイ攻撃の流れ

一般的な流れは以下のとおりです。

① 不正アプリ・マルウェアに感染

利用者が偽アプリや不正アプリをインストールすると、端末内でマルウェアが動作します。

② 銀行アプリの起動を監視

マルウェアは銀行アプリや決済アプリの起動を監視します。

③ 偽ログイン画面を表示

対象アプリが起動すると、本物そっくりのログイン画面を表示します。

④ 認証情報を送信

利用者が入力した情報は攻撃者へ送信されます。

⑤ 不正ログイン・不正送金

盗まれた情報を利用して口座乗っ取りや不正送金が行われる可能性があります。


なぜ気付きにくいのか

オーバーレイ攻撃が危険なのは、

「本物のアプリを使っている」という安心感

を悪用する点です。

フィッシングサイトの場合は、

  • URL
  • ドメイン
  • デザイン

などから違和感を覚える場合があります。

しかしオーバーレイ攻撃では、本物の銀行アプリが起動しているため、不自然さに気付きにくくなります。


オーバーレイ攻撃とフィッシングの違い

項目フィッシングオーバーレイ攻撃
攻撃場所偽Webサイト正規アプリ上
誘導方法メール・SMSマルウェア感染
利用者の見え方偽サイト本物のアプリに見える
主な標的Webサービスモバイルアプリ

つまり、

フィッシング対策だけではオーバーレイ攻撃を防げません。


最近増えている理由

近年のAndroidマルウェアでは、

  • Rokarolla
  • Anatsa
  • Godfather
  • SharkBot

など、多くのバンキングマルウェアがオーバーレイ攻撃を採用しています。

その背景には、

  • スマートフォン利用者の増加
  • 金融アプリの普及
  • SMS認証の一般化

があります。

攻撃者はログイン情報だけでなく、認証コードや重要操作まで狙うようになっています。


企業が実施したい対策

MFAだけに依存しない

多要素認証は重要ですが、それだけでは十分とは言えません。


Root化・Jailbreak端末を検知する

改ざん端末ではオーバーレイ攻撃が成立しやすくなります。


RASPを導入する

実行中のアプリを監視し、不正な環境を検知できます。


App Shieldingを活用する

改ざんや解析への耐性を高めることができます。


重要操作時の追加認証

ログインだけでなく、

  • 送金
  • 出金
  • 登録情報変更

などでも本人確認を行うことが重要です。


モバイル不正対策ラボの見解

オーバーレイ攻撃は、「ログイン画面を守る」という従来の考え方だけでは防げません。

重要なのは、

  • 端末が安全か
  • アプリが改ざんされていないか
  • 実行環境に異常がないか

まで確認することです。

金融・決済・会員アプリでは、認証情報だけでなく「ログイン後の重要操作」を保護する設計が求められます。


企業向けチェックリスト

□ オーバーレイ攻撃を想定した設計になっている

□ Root化・Jailbreak端末を検知している

□ RASPを導入・検討している

□ App Shieldingを導入・検討している

□ 不正操作時の追加認証を実施している

□ 不審な端末や利用状況を検知できる


まとめ

オーバーレイ攻撃は、正規アプリの画面に偽ログイン画面を重ねて表示し、認証情報を盗み取る攻撃です。

近年ではバンキングマルウェアの代表的な手法となっており、金融・決済アプリを運営する企業は、フィッシング対策だけでなく、アプリ保護や端末リスク検知を組み合わせた多層防御を検討する必要があります。

モバイル不正対策ラボでは、今後も最新の攻撃手法や企業が実施すべき対策について継続的に解説していきます。


あわせて読みたい