パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

2014年上半期、インターネットバンキングにログインするとウイルスが不正な振り込みを行うMITB攻撃が国内で初めて確認される」記事へのコメント

  • 他の金融先進国では、西暦2000年頃からトランザクション署名付きのトークンが使われています。振込の際には、トークンに振込先の口座番号を入力する必要があるので、トークンに詐欺師の口座番号を入力しない限り、不正振込がされない仕組みです。

    現状日本は、ゆうちょ銀行のトークン [japanpost.jp] も 三井住友銀行のワンタイムパスワード [smbc.co.jp] も、トランザクション署名対応のVASCO(バスコ)のDIGIPASSトークン [vasco.co.jp]なのに、インターネットバンキングのシステム(Webサイト)がそれに対応していない為、使えないという大変残念な状態です。

    あとは、Webサイト側がトランザクション署名に対応させれば、MITB(Man In The Browser) は完全に防ぐことが可能です。

    日本国内で MITB 攻撃が発生した今、ネットバンキングのシステムをトランザクション署名に対応させるべきです。

    • by Printable is bad. (38668) on 2014年09月13日 18時14分 (#2676333)

      西暦2000年頃から
       ↓
      西暦2010年頃から

      親コメント
    • 高木浩光先生のこれ [atmarkit.co.jp]とかですね。

      普及までにはどうしても時間がかかるでしょうから、その間のつなぎにはCD/USBブートのLinuxでも使えないかなぁ、とか妄想しています。各銀行が純正のウイルスフリーCDを配ってとか。でも一般ピープルにはPCの起動デバイスの指定はきっと無理…。

      --
      Jubilee
      親コメント
      • by Anonymous Coward

        このデバイス、どうやってMITBを防ぐのでしょう? 表示後に改竄されたら終わりのような?

        • by Anonymous Coward
          デバイス?

          元ACではないけれど、LiveCDなんでシステムが基本的に読み取り専用。起動直後はいつもクリーン。
          起動して即銀行のサイトにアクセスすればよい。

          MITBはマルウェアによってもたらされるので余計なサイト見なければ大丈夫ということだろうね。
          銀行のサイト自体が改ざんされるのはMITBよりひどい状況なので対象外(MITB不正でもサイトがダメになってるんだから意味ない)。

          銀行を騙ってディスクを配布されたり、起動後~銀行のサイトみるまでに感染したり、そもそも配布したイメージが古くなってセキュアじゃない状態となったらどうするかとか、気にしないといけないことはいろいろあるとは思うけどね。
          • by Anonymous Coward
            あわてなさんな
            リンクリンク
    • by Anonymous Coward

      TANで十分防げると思うのですが...駄目なんかな??
      http://en.wikipedia.org/wiki/Transaction_authentication_number [wikipedia.org]

    • by Anonymous Coward

      サイバー攻撃不正行為が深刻の中国国内では、殆どの金融機関では、4、5年前からMITB対策に取り込んています。

      現在、中国国内の200以上の金融機関では、トランザクション署名対応のOCRAトークン及び液晶画面付きのUSBトークン、及びWebサイト側でトランザクション署名の仕組みでMITB(Man In The Browser) 対策を採用しています。

      WorldWideから見ると、日本の金融機関のインターネットバンキングのセキュリティ対策が数年遅れています。

      • by Anonymous Coward
        専用ハードウェアを併用するぐらいなら、
        そもそもの取引を専用ハードウェアでってとこまではいかないのかな。コスト的に無理?

        MITBでWebページ改ざんできる状況でトークンってどこまで有効なの?チャレンジアンドレスポンスならチャレンジが書き換えられる状況なわけだけど。
    • by Anonymous Coward

      三井住友銀行のはこっちですね。
      http://www.smbc.co.jp/kojin/direct/passca/index.html [smbc.co.jp]

にわかな奴ほど語りたがる -- あるハッカー

処理中...