アカウント名:
パスワード:
他の金融先進国では、西暦2000年頃からトランザクション署名付きのトークンが使われています。振込の際には、トークンに振込先の口座番号を入力する必要があるので、トークンに詐欺師の口座番号を入力しない限り、不正振込がされない仕組みです。
現状日本は、ゆうちょ銀行のトークン [japanpost.jp] も 三井住友銀行のワンタイムパスワード [smbc.co.jp] も、トランザクション署名対応のVASCO(バスコ)のDIGIPASSトークン [vasco.co.jp]なのに、インターネットバンキングのシステム(Webサイト)がそれに対応していない為、使えないという大変残念な状態です。
あとは、Webサイト側がトランザクション署名に対応させれば、MITB(Man In The Browser) は完全に防ぐことが可能です。
日本国内で MITB 攻撃が発生した今、ネットバンキングのシステムをトランザクション署名に対応させるべきです。
西暦2000年頃から ↓西暦2010年頃から
高木浩光先生のこれ [atmarkit.co.jp]とかですね。
普及までにはどうしても時間がかかるでしょうから、その間のつなぎにはCD/USBブートのLinuxでも使えないかなぁ、とか妄想しています。各銀行が純正のウイルスフリーCDを配ってとか。でも一般ピープルにはPCの起動デバイスの指定はきっと無理…。
このデバイス、どうやってMITBを防ぐのでしょう? 表示後に改竄されたら終わりのような?
TANで十分防げると思うのですが...駄目なんかな??http://en.wikipedia.org/wiki/Transaction_authentication_number [wikipedia.org]
サイバー攻撃不正行為が深刻の中国国内では、殆どの金融機関では、4、5年前からMITB対策に取り込んています。
現在、中国国内の200以上の金融機関では、トランザクション署名対応のOCRAトークン及び液晶画面付きのUSBトークン、及びWebサイト側でトランザクション署名の仕組みでMITB(Man In The Browser) 対策を採用しています。
WorldWideから見ると、日本の金融機関のインターネットバンキングのセキュリティ対策が数年遅れています。
ラズパイCompute Module程度のコアに安物電子辞書程度のモノクロディスプレイとテンキー付きキーボードを組み合わせたら、5000円かそこらでできませんかねぇ。オンラインバンキング専用の常時SSL端末。ファームの書き換えは銀行窓口限定でPCにはつながない。何行かアライアンスを組めばいけそうな気もしますが。
三井住友銀行のはこっちですね。http://www.smbc.co.jp/kojin/direct/passca/index.html [smbc.co.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
数年遅れの日本! トランザクション署名に対応する時が来た! (スコア:3)
他の金融先進国では、西暦2000年頃からトランザクション署名付きのトークンが使われています。振込の際には、トークンに振込先の口座番号を入力する必要があるので、トークンに詐欺師の口座番号を入力しない限り、不正振込がされない仕組みです。
現状日本は、ゆうちょ銀行のトークン [japanpost.jp] も 三井住友銀行のワンタイムパスワード [smbc.co.jp] も、トランザクション署名対応のVASCO(バスコ)のDIGIPASSトークン [vasco.co.jp]なのに、インターネットバンキングのシステム(Webサイト)がそれに対応していない為、使えないという大変残念な状態です。
あとは、Webサイト側がトランザクション署名に対応させれば、MITB(Man In The Browser) は完全に防ぐことが可能です。
日本国内で MITB 攻撃が発生した今、ネットバンキングのシステムをトランザクション署名に対応させるべきです。
訂正 (スコア:2)
西暦2000年頃から
↓
西暦2010年頃から
Re:数年遅れの日本! トランザクション署名に対応する時が来た! (スコア:1)
高木浩光先生のこれ [atmarkit.co.jp]とかですね。
普及までにはどうしても時間がかかるでしょうから、その間のつなぎにはCD/USBブートのLinuxでも使えないかなぁ、とか妄想しています。各銀行が純正のウイルスフリーCDを配ってとか。でも一般ピープルにはPCの起動デバイスの指定はきっと無理…。
Jubilee
Re: (スコア:0)
このデバイス、どうやってMITBを防ぐのでしょう? 表示後に改竄されたら終わりのような?
Re: (スコア:0)
元ACではないけれど、LiveCDなんでシステムが基本的に読み取り専用。起動直後はいつもクリーン。
起動して即銀行のサイトにアクセスすればよい。
MITBはマルウェアによってもたらされるので余計なサイト見なければ大丈夫ということだろうね。
銀行のサイト自体が改ざんされるのはMITBよりひどい状況なので対象外(MITB不正でもサイトがダメになってるんだから意味ない)。
銀行を騙ってディスクを配布されたり、起動後~銀行のサイトみるまでに感染したり、そもそも配布したイメージが古くなってセキュアじゃない状態となったらどうするかとか、気にしないといけないことはいろいろあるとは思うけどね。
Re: (スコア:0)
リンクリンク
Re: (スコア:0)
TANで十分防げると思うのですが...駄目なんかな??
http://en.wikipedia.org/wiki/Transaction_authentication_number [wikipedia.org]
Re: (スコア:0)
サイバー攻撃不正行為が深刻の中国国内では、殆どの金融機関では、4、5年前からMITB対策に取り込んています。
現在、中国国内の200以上の金融機関では、トランザクション署名対応のOCRAトークン及び液晶画面付きのUSBトークン、及びWebサイト側でトランザクション署名の仕組みでMITB(Man In The Browser) 対策を採用しています。
WorldWideから見ると、日本の金融機関のインターネットバンキングのセキュリティ対策が数年遅れています。
Re: (スコア:0)
そもそもの取引を専用ハードウェアでってとこまではいかないのかな。コスト的に無理?
MITBでWebページ改ざんできる状況でトークンってどこまで有効なの?チャレンジアンドレスポンスならチャレンジが書き換えられる状況なわけだけど。
Re:数年遅れの日本! トランザクション署名に対応する時が来た! (スコア:1)
ラズパイCompute Module程度のコアに安物電子辞書程度のモノクロディスプレイとテンキー付きキーボードを組み合わせたら、5000円かそこらでできませんかねぇ。オンラインバンキング専用の常時SSL端末。ファームの書き換えは銀行窓口限定でPCにはつながない。何行かアライアンスを組めばいけそうな気もしますが。
Jubilee
Re: (スコア:0)
三井住友銀行のはこっちですね。
http://www.smbc.co.jp/kojin/direct/passca/index.html [smbc.co.jp]