パスワードを忘れた? アカウント作成
10973834 story
お金

三井住友銀行のネットバンキングを狙った攻撃、ワンタイムパスワード利用者も被害に 52

ストーリー by hylom
より巧妙に 部門より

最近ネットバンキングを狙った攻撃が増えており、銀行各社もこれに対抗すべくさまざまな手段を講じている。その1つにパスワード生成機を使ったワンタイムパスワードがあるのだが、三井住友銀行のネットバンキングにて、このワンタイムパスワードを使っていたにも関わらず被害を受けた例が確認された模様(NHK朝日新聞三井住友銀行の注意喚起)。

被害を受けた事案では、パソコン側にマルウェアが仕込まれており、それによって正規の銀行サイトから偽サイトに誘導されるという。そこでパスワードを利用者に打ち込ませ、その情報を使って即座に正規サイトでの不正送金を行うという手口だったようだ。

同様の手口を使った攻撃はほかの銀行でも見られるという。このようなマルウェアを使った攻撃の場合、ログイン後や操作の途中でパスワードなどの入力を求められることが多いようで、「銀行側ではウイルス対策を徹底するとともにパスワードの入力は最後に取引内容を確認するときにしか求められないため、画面を開いてすぐに入力しないよう注意を呼びかけています」という。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 結局最後はユーザが画面通して送金先と金額をはじめとする確認するわけで、
    画面が改竄できる以上抜本的な対策は難しそう。

    トークンに送金先と金額入れてOTP生成するか?

    • その意味だとスマフォ側に確認をpushする系(WebにはQRでのチャレンジが表示され、それを専用アプリかつ通知の延長で認証して始めて成功とか)がいいのかもしれませんねぇ...

      # 番号マトリクスは全取得や、たとえ一部でも複数回の試行で抜けられそうで、微妙に苦手

      --
      M-FalconSky (暑いか寒い)
      親コメント
      • by Anonymous Coward

        住信SBIネット銀行がスマート認証 [netbk.co.jp]という2経路認証サービスを提供しています。
        最初にスマートフォンの設定を行う時点でPCが汚染されていた場合は駄目ですが。

        安全な環境で設定されたスマート認証は、あとからPCとスマホの両方に侵入を許さない限りはセキュリティを保てそうです。

        • スマートデバイスで送金するなら、
          API的にここまで凝ったマルウェア作れないぶん現状安全かも知れません。
          root取られない限りは。

          親コメント
          • by Anonymous Coward

            この話、NHKでも特集してたな。
            出演した「専門家」の意見も「スマホの方が安全」だった。
            「対策ソフトは後追いである」と、はっきり言っていたな。

            次善策は必要だけど、そもそもマルウェアがまずいのであって、その対策は?と思って聞いていた。
            覚えている限りでは、OS含めたソフトの最新化と、可能ならネットバンキング専用PCの用意、かな。
            意識付けについては曖昧だった感じ。

            女性司会の一人が使う古いAndroid端末も危険だと言っていた。
            「スマホが安全」「古いスマホは危険」を分けて伝えると、誤解する視聴者もいそう。

            • >「スマホが安全」「古いスマホは危険」を分けて伝えると、誤解する視聴者もいそう。

              これこわいよ、何が危険かその根拠も認識できない人に「こうすれば大丈夫だから」と盲信させるのって詐欺のお手本みたいだ。

              >「銀行側ではウイルス対策を徹底するとともにパスワードの入力は最後に取引内容を確認するときにしか求められないため、画面を開いてすぐに入力しないよう注意を呼びかけています」という。

              これってもう「注意しろ」としか言えない銀行側からのネットバンクはもう安全じゃないよと言う敗北宣言じゃないんすかね。

              重点的に狙われている三井住友銀行を使い続けないといけない理由ってなんだろう。
              もしかして、今ならマルウェア仕込まれてネットバンク詐欺にあったと申告してそれが通れば補填される美味しい状態なのかな。
              #Mt.GOX以来ついこんな邪推をしてしまう。

              親コメント
              • by Anonymous Coward

                給料の振込みから光熱費の引き落としやクレジットとか実生活を送る上でそうそう銀行なんか変えられないと思うんだけど。
                しかも変えた先の銀行は絶対安全なんて事もないんだし。
                疑問に思うなら三井住友銀行を使い続けないといけない理由じゃなくてネットバンクを使う理由じゃない?

              • by Anonymous Coward

                >重点的に狙われている三井住友銀行を使い続けないといけない理由ってなんだろう。
                別に三井住友だけじゃないよ。
                UFJだってあの調子だし、みずほだって大差ない。

              • なるほど、同じように被害が出てるんだけど公にしてないだけすか。
                ネットバンクを使わなければいけない人たちってどうすんだろ。

                親コメント
    • by Anonymous Coward

      > トークンに送金先と金額入れてOTP生成するか?

      なんかbitcoinぽいかなとか

  • by miyuri (33181) on 2014年05月13日 19時55分 (#2599985) 日記

    ・セキュリティの確保は大事ですよ
    ・ネットバンキングは危険ですよ

    他にもあるだろうけど、どういうのを期待しているのだろう。

  • by Anonymous Coward on 2014年05月13日 19時40分 (#2599976)

    >パスワードの入力は最後に取引内容を確認するときにしか求められないため、
    >画面を開いてすぐに入力しないよう注意を呼びかけています

    旧タイプのワンタイムパスワードではログイン時にワンタイムパスワードの入力をさせてたんですが
    そちらのシステムは改修されたんですかね?

    旧タイプに慣れてた人だと新システムでも疑問を持たずにログイン時に入力しちゃいそうですよね。

  • ワンタイムパスワードを使ってるから....
    という、間違った安心感が逆にPCの管理をおろそかにさせてしまっているような気がします。

    ネットバンキングを使うためには、ネットやセキュリティに対する知識を確認する審査をやるぐらいでちょうどいいんじゃないかなぁ。

  • この事件について報じた

    三井住友銀行の不正送金は「MITB攻撃」、ワンタイムパスワード利用者も被害に:ITpro [nikkeibp.co.jp]

    「同行のカード型トークンには、ワンタイムパスワードの生成を工夫することでMITB攻撃などの中間者攻撃を防ぐ拡張機能もあるが、」とあって気になっていたら
    それは「トランザクション署名」のことであるとTwitterでご教示 [twitter.com]頂きました。

    参考:
    産総研高木氏の提案、試作機によるデモも:本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を - @IT [atmarkit.co.jp]

  • by Anonymous Coward on 2014年05月13日 19時13分 (#2599948)

    期限付きパスワードということなの?

    • by Anonymous Coward on 2014年05月13日 19時20分 (#2599955)

      偽のサイトでワンタイムパスワードを入力させて
      すぐにそれを使って認証を行い不正送金を行っているのではないかと

      なのでこの場合ワンタイムでも意味が無い

      親コメント
      • 銀行サイト側がログイン直後にOTPを送付された場合に
        処理を拒否すればよさそうですね。

        30秒、あるいはトークン側の時計のずれを考慮しても
        数分たてばOTPは利用できなくなるわけで、
        ログインから送金までに数分かかるようにデザインすれば
        盗んだOTPでの送金はだいぶ難しくなるかと。

        あでも送金時に1回偽のエラーを表示して再度OTP取得されたらだめか・・・。
        うーん。

        OTPは銀行サイト側がユーザを認証する手段でしかないので
        ユーザ側が銀行サイトを認証できる安全な手段がないと
        MITB状態ではなすすべがないですね。

        決済専用端末しかないのか・・・

        親コメント
      • by Anonymous Coward

        完全に専用端末でもないと無理な気がする。
        USBとかに刺してネットでその端末と認証を行い、認証とかは内部で勝手にやってくれる。
        対象が偽サイトならその認証自体が成功しない(その端末のシステムを解析して全く同じ物を作らない限り)から
        この場合なら偽サイトに使っても「あれ?成功しねえぞ?」で終わる。

    • by Anonymous Coward

      http://itpro.nikkeibp.co.jp/article/COLUMN/20130708/489843/ [nikkeibp.co.jp]
      Man in the Browser攻撃と言うそうです。

  • by Anonymous Coward on 2014年05月13日 19時16分 (#2599951)

    それよりも、なんで三井住友銀行はワンタイムパスワードをRSA securityのからVascoに変えたんでしょうねぇ?
    テンキーついているから、画面のチャレンジコードを入力して、結果を入れるのかと思ったらそうじゃないし。

    • by flutist (16098) on 2014年05月13日 20時05分 (#2599991)

      私のいる組織でも SecurID から Vasco に変わったんですけど、はっきり「安いから。」という説明がありました。

      親コメント
    • by phenix (31258) on 2014年05月13日 21時03分 (#2600029)

      確かに、チャレンジコード入れられれば、防げた話ですね。
      送金先が違えばチャレンジコードが合わない筈なので。

      親コメント
      • by Anonymous Coward on 2014年05月13日 21時14分 (#2600034)
        それは偽サイトがチャレンジコードを「まともに」処理した場合でしょう?
        ただの文字列として受け取って、これも本物と同じような見た目の結果画面を出せばいいだけ。
        あとはユーザが気づく前にコトを行えばOK。
        親コメント
        • うわ、意味の通らない文章になってました。すみません。
          チャレンジコードを送金先+saltみたいな形にすれば、ということが言いたかったです。

          送金先12345とsalt678を使ってチャレンジコードを123456とすれば、ユーザが入力するのは123456に対するOTPであって、
          攻撃者が送金先54321に送金させようとしても、チャレンジコード54321678に対応するOTPを得ることができない。

          親コメント
          • そのチャレンジコードを処理するフローが、
            ・PC画面にチャレンジコードが表示される
            ・OTP生成器にチャレンジコードを手入力してパスワード生成
            ・出来たパスワードをPCに手入力
            という流れだとしたら、最初に表示されるチャレンジコードを、「送金先12345に対するチャレンジコードは54321678です」と表示されたらもうダメですね。

            ブラウザが乗っ取られたら、ブラウザを通すかぎりはもうどうしようもないので、
            スマホなどを使った二段階認証で、
            ・利用者はPCに送金先・送金額を入力
            ・銀行側はスマホに送金策・送金額を送出
            ・利用者はスマホに表示された送金先・送金額を確認してから承認
            といった流れにするぐらいが無難なとこじゃないかな。

            親コメント
          • by Anonymous Coward

            それ、ユーザが手元にもつレスポンス計算機側にその機能を含んでないと無理では?
            中間者が、送金先54321への送金リクエストをまず銀行サイトに送って、銀行サイトが
            チャレンジコード54321678を返してきたときに、中間者がユーザに提示する画面に
            送金先12345とチャレンジコード54321678を表示し、ユーザがそれを信用すれば
            攻撃が成立するわけで。

            レスポンス計算機にそこまで機能を作りこむのは、あまり現実的じゃないような。

    • by Anonymous Coward

      >それよりも、なんで三井住友銀行はワンタイムパスワードをRSA securityのからVascoに変えたんでしょうねぇ?

      提供されるバイナリが。げふんげふん。
      技術的なレスポンスでまた何かやらかしたんじゃないですかね。

      # 危険すぎるのでA.C. さすがに、前も結局フレームになったけど。こっちはさすがにまずい。

  • by Anonymous Coward on 2014年05月13日 19時42分 (#2599978)
    > 画面を開いてすぐに入力しないよう注意を呼びかけています

    待ってから入力しても同じじゃないの?
    • by Anonymous Coward

      >パスワードの入力は最後に取引内容を確認するときにしか求められないため

      画面?ページ? ニホンゴムズカシイネー。

  • by Anonymous Coward on 2014年05月13日 20時06分 (#2599992)

    そりゃ、ワンタイムパスワードがフィッシングやマルウェアに無力なんてのは分かり切ったことで。
    今更何を言っているのか。

  • by Anonymous Coward on 2014年05月13日 21時22分 (#2600044)

    ネットバンキングなんて使わなければいいんだよ。
    テレフォンバンキングで良いじゃないか

    • by Anonymous Coward

      メールで送られてきた偽の電話番号にかけてしまうかもしれない。

    • by Anonymous Coward

      テレバンサーバーの手前に居るよくわからん振分端末っぽいやつのメンテできる人が希少価値すぎて、体制戻せないんだよ!

      # 某ぷりんの人が操作してたけど。何してるのかサッパリわからんかったし。その人以外に触れる人もいなかった。

  • まあ、もういいか。あんな辺鄙なところへ受験するのも面倒。

  • by Anonymous Coward on 2014年05月13日 22時56分 (#2600101)

    ユーザ、パスワードのほかに、送金用のパスワードが必要ですが

    もう一つの手として、送金可能なネットワークを限定するもの手です。

    自分は自宅のグローバルIPからでしか送金できないようにしております

    追伸

    • by Anonymous Coward

      今回の攻撃的に、ユーザー・パスワードまでも抜かれるので、その時点で攻撃者のIPアドレスを送金可能にすることも可能かと。
      書面でしか登録出来ないならいいけど。固定IPアドレスが必須だね。

      • by Anonymous Coward

        IPv6のメリットになるかもね。
        IP固定で金融機関へのアクセス専用に一つ割り当ててしまう。

    • by Anonymous Coward

      今回の事例だと、自宅のPCは既にマルウェアに感染済みなので、送金までこいつがやるようになったらIP制限でもアウトです。

      # 端末が侵入されてる前提だと、ほとんどの対策は無理な気がする。専用端末に頼るしかないか?

  • by Anonymous Coward on 2014年05月13日 23時01分 (#2600104)

    基本的にはインターネットに接続しないのが一番安全
    うちの会社は銀行のオンラインサービスにダイアルアップの電話回線経由のを利用してる(モデムがまだまだ現役)
    電話代はかかるしサービス提供時間帯も日中に限られるがセキュリティ問題であれこれ悩む必要は無い
    #個人向けに同様のサービスが提供されればひ使いたい

    • by Anonymous Coward

      オフィスにあるPBXへの乗っ取りに気を付けようΨ(`∀´)Ψケケケ

    • by Anonymous Coward

      昔、さくら銀行が専用電話番号経由でのオンラインバンキングやってたと思うけど、
      今思えばまさにそういう仕組だったのかなあ。自分で使ってたわけじゃないからよく覚えてない。

      #奇しくも三井住友銀行の前身じゃないすか

  • by Anonymous Coward on 2014年05月13日 23時20分 (#2600126)

    仮想化でLinuxデスクトップをインストールして、その中でオンラインバンキングを利用するのがいいかもね。

    画面を外からモニターされたり、キーロガーとかだと痛いけど。そこまでやられてたら、もうお手上げか。

  • そんなオレオレルール知らんがな。

    まぁ、マルウェアなんかインストールしちゃう人は
    被害にあってろ、ってことだな。

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...