アカウント名:
パスワード:
書き込み不可のUSBメモリを使用しているとのことですので、バグ・脆弱性が発見された場合や、サーバ(セコムの仮想専用ネットワーク)側のシステム変更への対応などで必要となった場合に、新しいUSBメモリが郵送されることが想定されます。
従って、偽の「セコムの専用USB」を送り付けるというソーシャルエンジニアリングに弱いのではないでしょうか? 契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。
偽の「セコムの専用USB」には、Firefox ブラウザ [secom.co.jp]などのソフトウェア部分を書き換えたイメージを入れておれば MITB(Man-In-The-Browser Attack)攻撃 [nikkeibp.co.jp] も可能です。これにより、正規の振込時に振込先・金額をリアルタイムで書き換えることが可能ですので、ワンタイムパスワード(トークン)を採用している金融機関から不正振込させることも可能です。
日本の金融機関のインターネットバンキングはセキュリティ対策で遅れをとっており、海外の金融機関では対応しているのが常識の MITB攻撃を100%防げるトランザクション署名 [ftsafe.co.jp] に対応している国内金融機関は1行もありませんから、攻撃は容易と言えます。
(金融機関のサーバに対してEnd-To-End方式のSSL通信を行っているのではなく、セコムのサーバがSSLのセッションを金融機関に張る仕組みであったとしても、「偽USB」ならばその部分も書き換えることが可能であることから、攻撃は防げません)
「セコム プレミアムネット」の契約者は、預金額が高額であることが推定されますので、契約者を狙う上記の手口は、最近流行している振り込め詐欺(既に振込じゃないですが)の手口である、「バイク便業者や直接代理人を自宅に向かわせ、現金を手渡しさせたり、定形小包郵便物(通称「エクスパック500」)による送付等の受け渡し方法を指定してくる場合」(引用元 [tokyo.jp])よりも、詐欺師にとって、ローリスク・ハイリターンであると思います。
契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。
それで、電子証明書の偽造は簡単なのですか?
使用可能な電子証明書を「偽造」することは、採用している規格に脆弱性が無い限り不可能です。電子証明書は、セコムのサーバにVPN接続する際に用いる為のものだと思われます。簡単に言うと、
【クライアントPC】 ⇔ (VPN接続 : ここで電子証明書を使う) ⇔ 【セコムのサーバ】 ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
といった感じです。
もし仮に、「セコムの専用USB」に記録されている電子証明書の内容が全顧客共通であれば、複製は容易です(全顧客同一ROMの方がコストを安くできます)。
顧客ごとに違う電子証明書であるとするならば、犯罪者は、セコムのサーバにVPN接続しないようにプログラムを書き換えて、
【改ざん済み Firefox】 (MITB付き) ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
とする必要があります。この場合も、ソーシャルエンジニアリングは成立します。
セコム プレミアムネット®(個人) [secom.co.jp]によれば、
簡単操作 お手持ちのパソコンに専用USBを接続し、パソコンの電源を入れるだけ。あとは今までどおりの操作でネットバンキングを利用できます。
と、セコムサーバにIDとパスワードを入れてログインする方式ではなさそうですので、VPN経由で無いことはばれにくいのではないでしょうか?
電子証明書を使って、本物のサーバーに接続する必要とかあるんですか?
法人系の銀行はそういう仕様ところが多い
タレコミやINTERNET Watch の記事 [impress.co.jp]には、
専用のOSやWebブラウザ、電子証明書を搭載した書き込み不可のUSBメモリをPCに接続し、そこからOSをブートして利用する。
とありますが、これって本当ですか? 公式ページの説明 [secom.co.jp]や規約 [secom.co.jp]には、「書き込み不可のUSBメモリ」であるという記述はありません。
規約 [secom.co.jp]によると、
【サービスご提供条件】 (用語の定義) 第2条 本ご利用規定およびサービス内容における用語とその意味を以下のとおり定義します。 (1)USBシンクライアントデバイス セキュアなOS、VPN通信クライアントおよび専用ブラウザを搭載した、セコムが提供するUSBデバイスです。 【サービス内容】 7.サービス内容の詳細 (3)データファイルの保存場所の提供 (前略) USBシンクライアントデバイス用のクライアント証明書は予めインストールされています。また、USBシンクライアントデバイスには一時フォルダがあり、セコムクラウド内に用意したデータ保存場所とファイルを自動同期することができます。 (4)デバイス内ファイルの更新 セコムが提供したUSBシンクライアントデバイスにあらかじめ搭載したUSBシンクライアントデバイス用クライアント証明書は、有効期限の切れる前に、セコムクラウドから自動的に新しい証明書を取得して更新します。 また、セコムが提供したUSBシンクライアントデバイスにあらかじめ搭載した専用ブラウザ等ソフトウェアは、必要に応じて、セコムクラウドから自動的に新しいバージョンのソフトウェアを取得して更新します。 (5)クライアント認証用電子証明書の管理機能の提供 お客様がアクセスする専用ポータルサイトに掲載された金融機関サイトによっては、電子証明書によるログイン認証を必要とする場合があるため、USBシンクライアントデバイス上の専用ブラウザに対して、クライアント認証用の電子証明書を追加インストールできる機能を提供します。また、追加した電子証明書の照会、削除を行うことができます。 (後略)
とあり、どうやらUSBメモリの内容を随時書き換える方式のシステムである風に読めます。
決定的なのは「デバイス内ファイルの更新」の部分で、「デバイス」は第2条(用語の定義)(1)の「USBシンクライアントデバイス」だとしか考えられません。
書き換え可能なUSBメモリだということは、ウイルスに感染しているパソコン(Windows などのOSが起動している状態)に接続したら危険 ではないでしょうか?
それとも、セコムのデジタル署名を検証しない限り書き換えできないといった極めて高度なUSBメモリになっている? 私の推測では、なっていないような気がします……。
・USBブートの方法がわからず、起動させられない。・起動したのはいいものの、画面が壊れてよくわからない。・起動したのはいいものの、入力できない。・仮想マシンでブートする奴・コピーして改造しだす奴・改造したのをばらまく奴・GPL分の開示を要求する奴
プレイステーション~に繋いでも起動しないTVのUSB端子に指しても起動しない
> ・USBブートの方法がわからず、起動させられない。
問い合わせの電話が殺到しすぎて繋がらないという未来が・・・・
月500円で、「うち、セコムしてるから」と言えるのかところであのステッカーは貰えるんでしょうか?
できてるんでしょうね。
よくわからんので、AC
こういうニュースを聞くと、そこまでしてインターネット使いたいのか?と思ってしまうまあ、重要なインフラであることは確かだが何が何でもインターネット接続すれば良いというものではない
前にも書いたがうちは中小企業なので面倒な手間はかけたくない(少々コストがかかるのはまだ許せる)というわけで固定電話回線(アナログモデムでダイアルアップ接続)を使った法人向けのオンライン(?)バンクサービスを利用してる全銀協に加盟してる銀行だったらどこでも同様のサービスを提供してるはず(電話の接続先は全銀協かどこかの共用のデータセンターのはず)
一応つっこんでおくと、これ「個人向け」です。
> USBメモリに内蔵されていないドライバーについては、複数のドライバーを収めた補助CDを提供する
結局何処でもやるにはUSBとCD持ち歩かないといけない系?
CDに入るレベルなら、USBメモリに追加出来なかったのか…
ないですよね。セキュリティの会社ですもんね。
※3 UEFI SecureBootモードには対応しておりません。従来のBIOSモードでご利用ください。
ポカーン
Windows8以降がプリインストールされたPCってUEFI+SecureBootが普通っぽいんだけど毎回使う度にLegacyブートに切り替えて終わったらUEFIブートに戻せと・・・
ベースとなるOSに何使ってるか知りませんけど、Linux の各ディストリビューションの UEFI+SecureBoot 対応状況もひどいもんですよ。Fedora くらいですか、まともに使えるの。もう、仮想マシンにインストールするのとサーバー向けを除くと、絶滅するんじゃないかって感じ。さすがだぜ、Microsoft
ていうか、別に個人用途のLinuxなんて絶滅しても大して影響ないのでは。
そもそも個人用ならlegacyでいいじゃん。
# クライアントlinuxはそれこそ「始まってさえいないぜ!」状態ですよね。
顔を知ってる担当者が直接伺う費用ぐらい出るだろう.となれば,その担当者が直接,新しい USB を渡したり,設定したり,使い方を教えるようにすれば細かい問題は大体解決できるんじゃないかな.
そのレベルだったらUSBドングルなんてことせずに専用セットアップしたノートPCを貸与するか購入させればいいじゃん…
>セキュリティのためにUSB使用禁止のPCが多いと思うんですが、、
そういう世帯が多い地域(層?)には無縁なニュースですね。
へえ、最近は自宅PCのUSB機能を無効化して使うのが流行ってるんだ?私の知り合いにはいないけど。
まあ草をはやす前にタレコミのリンク先を見てきたほうが良いんじゃないかね。
・OS上のドライバレベルの制限だと、ブート時は無効のような。BIOS設定にも入れない個人PCは認めない。・イメージファイル転送してVMから起動しようぜ・PS/2キーボードお使いのかたですか?・USBがだめならLSBがあるじゃない?・個人向けサービス(大事なこと(略
お好きなのをどうぞ。
・イメージファイル転送してVMから起動しようぜ
セキュリティに気を使っているなら、クライアント証明書はスマートカードに格納するでしょうから(USB トークン)、イメージファイルを抜いても物が無ければ役に立たないのでは?
しかし、何となくそこまでやっていないような雰囲気が漂っていますが…
イメージファイルを取り出そうにも、USBポートはセキュリティのために全部物理的に潰してるから無理!
まぁきっと、単にUSB接続のストレージを自主規制してるだけなんだと思いますが。うーん。他人のUSBメモリを疑うならまだしも、こういうメーカ品まで疑うのは、セキュリティアレルギーと呼ばれてもいいレベルですよね。HDDとか、新品でも疑ってかかったりしてるんでしょうか。OSとかアプリの安全性は、どこまで確認してるんでしょう?
>うーん。他人のUSBメモリを疑うならまだしも、こういうメーカ品まで疑うのは、セキュリティアレルギーと呼ばれてもいいレベルですよね。知名度と信頼性は決して比例してないと思うんだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
ソーシャルエンジニアリングに弱いので注意が必要 (スコア:5, すばらしい洞察)
書き込み不可のUSBメモリを使用しているとのことですので、バグ・脆弱性が発見された場合や、サーバ(セコムの仮想専用ネットワーク)側のシステム変更への対応などで必要となった場合に、新しいUSBメモリが郵送されることが想定されます。
従って、偽の「セコムの専用USB」を送り付けるというソーシャルエンジニアリングに弱いのではないでしょうか? 契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。
偽の「セコムの専用USB」には、Firefox ブラウザ [secom.co.jp]などのソフトウェア部分を書き換えたイメージを入れておれば MITB(Man-In-The-Browser Attack)攻撃 [nikkeibp.co.jp] も可能です。これにより、正規の振込時に振込先・金額をリアルタイムで書き換えることが可能ですので、ワンタイムパスワード(トークン)を採用している金融機関から不正振込させることも可能です。
日本の金融機関のインターネットバンキングはセキュリティ対策で遅れをとっており、海外の金融機関では対応しているのが常識の MITB攻撃を100%防げるトランザクション署名 [ftsafe.co.jp] に対応している国内金融機関は1行もありませんから、攻撃は容易と言えます。
(金融機関のサーバに対してEnd-To-End方式のSSL通信を行っているのではなく、セコムのサーバがSSLのセッションを金融機関に張る仕組みであったとしても、「偽USB」ならばその部分も書き換えることが可能であることから、攻撃は防げません)
「セコム プレミアムネット」の契約者は、預金額が高額であることが推定されますので、契約者を狙う上記の手口は、最近流行している振り込め詐欺(既に振込じゃないですが)の手口である、「バイク便業者や直接代理人を自宅に向かわせ、現金を手渡しさせたり、定形小包郵便物(通称「エクスパック500」)による送付等の受け渡し方法を指定してくる場合」(引用元 [tokyo.jp])よりも、詐欺師にとって、ローリスク・ハイリターンであると思います。
Re: (スコア:0)
それで、電子証明書の偽造は簡単なのですか?
Re:ソーシャルエンジニアリングに弱いので注意が必要 (スコア:2)
使用可能な電子証明書を「偽造」することは、採用している規格に脆弱性が無い限り不可能です。電子証明書は、セコムのサーバにVPN接続する際に用いる為のものだと思われます。簡単に言うと、
【クライアントPC】 ⇔ (VPN接続 : ここで電子証明書を使う) ⇔ 【セコムのサーバ】 ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
といった感じです。
もし仮に、「セコムの専用USB」に記録されている電子証明書の内容が全顧客共通であれば、複製は容易です(全顧客同一ROMの方がコストを安くできます)。
顧客ごとに違う電子証明書であるとするならば、犯罪者は、セコムのサーバにVPN接続しないようにプログラムを書き換えて、
【改ざん済み Firefox】 (MITB付き) ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
とする必要があります。この場合も、ソーシャルエンジニアリングは成立します。
セコム プレミアムネット®(個人) [secom.co.jp]によれば、
と、セコムサーバにIDとパスワードを入れてログインする方式ではなさそうですので、VPN経由で無いことはばれにくいのではないでしょうか?
Re: (スコア:0)
電子証明書を使って、本物のサーバーに接続する必要とかあるんですか?
Re: (スコア:0)
法人系の銀行はそういう仕様ところが多い
Re: (スコア:0)
「書き込み不可のUSBメモリ」 ではなく 「書き換え可能なUSBメモリ」 だった! (スコア:5, 興味深い)
タレコミやINTERNET Watch の記事 [impress.co.jp]には、
とありますが、これって本当ですか? 公式ページの説明 [secom.co.jp]や規約 [secom.co.jp]には、「書き込み不可のUSBメモリ」であるという記述はありません。
規約 [secom.co.jp]によると、
とあり、どうやらUSBメモリの内容を随時書き換える方式のシステムである風に読めます。
決定的なのは「デバイス内ファイルの更新」の部分で、「デバイス」は第2条(用語の定義)(1)の「USBシンクライアントデバイス」だとしか考えられません。
書き換え可能なUSBメモリだということは、ウイルスに感染しているパソコン(Windows などのOSが起動している状態)に接続したら危険 ではないでしょうか?
それとも、セコムのデジタル署名を検証しない限り書き換えできないといった極めて高度なUSBメモリになっている? 私の推測では、なっていないような気がします……。
考えられること (スコア:2, おもしろおかしい)
・USBブートの方法がわからず、起動させられない。
・起動したのはいいものの、画面が壊れてよくわからない。
・起動したのはいいものの、入力できない。
・仮想マシンでブートする奴
・コピーして改造しだす奴
・改造したのをばらまく奴
・GPL分の開示を要求する奴
Re:考えられること (スコア:2)
プレイステーション~に繋いでも起動しない
TVのUSB端子に指しても起動しない
Re: (スコア:0)
> ・USBブートの方法がわからず、起動させられない。
問い合わせの電話が殺到しすぎて繋がらないという未来が・・・・
Re: (スコア:0)
・インターネット契約してなくてもつながると思っていた。
・使い方がわからないので銀行に聞きに行ったら普通に窓口で手続きすればいいと気がつくのを繰り返し使わず仕舞い。
Intel Macでも立ち上がるんかね?
あとBluetoothドライバとか…。
無線ネットワークドライバとか…。
(ネットワークドライバ入ってるらしいけど無線分も入ってるんかな)
セコムしてますか? (スコア:0)
月500円で、「うち、セコムしてるから」と言えるのか
ところであのステッカーは貰えるんでしょうか?
当然、BadUSB対策は (スコア:0)
できてるんでしょうね。
よくわからんので、AC
固定電話回線 (スコア:0)
こういうニュースを聞くと、そこまでしてインターネット使いたいのか?と思ってしまう
まあ、重要なインフラであることは確かだが何が何でもインターネット接続すれば良いというものではない
前にも書いたがうちは中小企業なので面倒な手間はかけたくない(少々コストがかかるのはまだ許せる)
というわけで固定電話回線(アナログモデムでダイアルアップ接続)を使った法人向けのオンライン(?)バンクサービスを利用してる
全銀協に加盟してる銀行だったらどこでも同様のサービスを提供してるはず(電話の接続先は全銀協かどこかの共用のデータセンターのはず)
Re: (スコア:0)
という観点から言えば五十歩百歩ですよ。
Re: (スコア:0)
一応つっこんでおくと、これ「個人向け」です。
補助CD (スコア:0)
> USBメモリに内蔵されていないドライバーについては、複数のドライバーを収めた補助CDを提供する
結局何処でもやるにはUSBとCD持ち歩かないといけない系?
Re: (スコア:0)
CDに入るレベルなら、USBメモリに追加出来なかったのか…
まさかSecureBootでUSBから起動できないとか (スコア:0)
ないですよね。セキュリティの会社ですもんね。
Re: (スコア:0)
※3 UEFI SecureBootモードには対応しておりません。従来のBIOSモードでご利用ください。
Re: (スコア:0)
ポカーン
Windows8以降がプリインストールされたPCってUEFI+SecureBootが普通っぽいんだけど
毎回使う度にLegacyブートに切り替えて終わったらUEFIブートに戻せと・・・
Re:まさかSecureBootでUSBから起動できないとか (スコア:1)
ベースとなるOSに何使ってるか知りませんけど、
Linux の各ディストリビューションの UEFI+SecureBoot 対応状況もひどいもんですよ。
Fedora くらいですか、まともに使えるの。
もう、仮想マシンにインストールするのとサーバー向けを除くと、
絶滅するんじゃないかって感じ。
さすがだぜ、Microsoft
Re:まさかSecureBootでUSBから起動できないとか (スコア:1)
ていうか、別に個人用途のLinuxなんて絶滅しても大して影響ないのでは。
Re: (スコア:0)
そもそも個人用ならlegacyでいいじゃん。
# クライアントlinuxはそれこそ「始まってさえいないぜ!」状態ですよね。
どうせ高額預金者が相手だろうから (スコア:0)
顔を知ってる担当者が直接伺う費用ぐらい出るだろう.
となれば,その担当者が直接,新しい USB を渡したり,設定したり,使い方を教えるようにすれば細かい問題は大体解決できるんじゃないかな.
Re: (スコア:0)
そのレベルだったらUSBドングルなんてことせずに専用セットアップしたノートPCを貸与するか購入させればいいじゃん…
Re:逆行してる (スコア:1)
>セキュリティのためにUSB使用禁止のPCが多いと思うんですが、、
そういう世帯が多い地域(層?)には無縁なニュースですね。
Re: (スコア:0, フレームのもと)
へえ、最近は自宅PCのUSB機能を無効化して使うのが流行ってるんだ?
私の知り合いにはいないけど。
Re: (スコア:0)
まあ草をはやす前にタレコミのリンク先を見てきたほうが良いんじゃないかね。
Re: (スコア:0)
・OS上のドライバレベルの制限だと、ブート時は無効のような。BIOS設定にも入れない個人PCは認めない。
・イメージファイル転送してVMから起動しようぜ
・PS/2キーボードお使いのかたですか?
・USBがだめならLSBがあるじゃない?
・個人向けサービス(大事なこと(略
お好きなのをどうぞ。
Re:逆行してる (スコア:2)
セキュリティに気を使っているなら、クライアント証明書はスマートカードに格納するでしょうから(USB トークン)、イメージファイルを抜いても物が無ければ役に立たないのでは?
しかし、何となくそこまでやっていないような雰囲気が漂っていますが…
Re: (スコア:0)
イメージファイルを取り出そうにも、USBポートはセキュリティのために全部物理的に潰してるから無理!
まぁきっと、単にUSB接続のストレージを自主規制してるだけなんだと思いますが。
うーん。他人のUSBメモリを疑うならまだしも、こういうメーカ品まで疑うのは、セキュリティアレルギーと呼ばれてもいいレベルですよね。
HDDとか、新品でも疑ってかかったりしてるんでしょうか。
OSとかアプリの安全性は、どこまで確認してるんでしょう?
Re: (スコア:0)
>うーん。他人のUSBメモリを疑うならまだしも、こういうメーカ品まで疑うのは、セキュリティアレルギーと呼ばれてもいいレベルですよね。
知名度と信頼性は決して比例してないと思うんだ。