しのびよるネットバンキング被害

金融機関が検討すべきセキュリティ対策とは--トークン化を利用される(前編) - (page 3)

相原敬雄 2015年04月28日 07時00分

  • このエントリーをはてなブックマークに追加

トランザクション署名に対する攻撃例

 前回の記事で、さらなるセキュリティ強化策として、ワンタイムパスワードの計算に実行する取引の内容(例えば振込先口座番号、金額など)を入れて計算するトランザクション署名を紹介したが、このトランザクション署名をも突破する、巧妙なソーシャルエンジニアリングの攻撃例を説明したい。前述の10キー付きのトークンを例にその手口を解説すると次のようになる。
  1. 攻撃者は、ユーザーがログインした際にそのワンタイムパスワードを利用してユーザーの口座にログインする
  2. 攻撃者はトークンのリセットが必要であるというメッセージをユーザーに表示し、ある特定の番号(または複数の番号)に取引署名を行い、そのワンタイムパスワードの入力を求める
  3. ユーザーはトークンが利用できなくなるのは困ると思い、求められた通りの操作を行い、取引用のワンタイムパスワードを入力してしまう
  4. 攻撃者が入手した2個目のワンタイムパスワードは、攻撃者の口座宛送金情報を元に計算された取引署名のワンタイムパスワード値である為、不正送金が行われてしまう

なぜ攻撃は成功するのか

  • このエントリーをはてなブックマークに追加

関連記事

「しのびよるネットバンキング被害」 バックナンバー

関連ホワイトペーパー

SpecialPR

連載

CIO
田中克己「2020年のIT企業」
林雅之「スマートマシン時代」
デジタルバリューシフト
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
モバイルファーストは不可逆
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ベネッセ情報漏えい
ネットワークセキュリティ
セキュリティの論点
OS
XP後のコンピュータ
スペシャル
AWS re:Invent 2014
Teradata 2014 PARTNERS
Dreamforce 2014
Oracle OpenWorld 2014
Windows Server 2003サポート終了
実践ビッグデータ
VMworld 2014
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化
NSAデータ収集問題

いま話題のキーワード