パスワードを忘れた? アカウント作成
11886196 story
セキュリティ

みずほ銀行、邦銀初となる「トランザクション認証」を導入 48

ストーリー by hylom
セキュリティ強化 部門より
Printable is bad. 曰く、

みずほ銀行が邦銀初となる「トランザクション認証」に対応した「ワンタイムパスワードカード」の取り扱いを2015年3月下旬より開始する(「ワンタイムパスワードカード」取り扱い開始のお知らせ)。

トランザクション認証は、ワンタイムパスワードカードに振込先口座番号を入力してワンタイムパスワードを生成させるシステム。生成されたワンタイムパスワードでは指定した口座番号以外には振り込みを行えない仕組みだ。

トランザクション認証に対応したトークンを正しく用いれば、ユーザーが利用するコンピュータがマルウェアに感染していたとしても、Man-in-the-Browser (MITB)と呼ばれる手法を完全に防ぐことができる。

しかしながら、高木浩光氏の指摘もあるように、ユーザーがパスワードカードに「送金先の口座番号」ではなく「マルウェアが出力したパソコン上に表示された数値」を入力してしまった場合には、不正振込を防ぐことができない。そのため、みずほ銀行が、「ワンタイムパスワードカード」の説明書やインターネットバンキングのUIにおいて、ユーザーが誤ったトークンの使い方をしないよう適切な配慮を行うことに期待したい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  •  (このコメントでは、みずほ銀行の「ワンタイムパスワードカード」を「セキュリティトークン」と表記します。)

     タレコミ本文では、振込時にブラウザ上に入力する数字(セキュリティトークンに振込先口座番号を入力後に表示される数字)を、みずほ銀行の発表通りに 「ワンタイムパスワード」 としましたが、技術的に正確な用語を用いると 「メッセージ認証コード(Message Authentication Code:MAC)」 です。メッセージ認証コード(MAC)とは、データ改ざんの有無を検知するための固定長コードのことで(用語詳細) [capm-network.com]、今回導入されるシステムでは「振込先口座番号」の改ざんの有無を検出するために用いられます。パスワードは、「利用者が本人であることを確認するための認証に用いる文字列」 のことですから、用語として適切ではありません(広義の「パスワード」ではあるかもしれませんが)。

     また、振込先口座番号に対するメッセージ認証コード(MAC)をセキュリティトークンで生成し、ブラウザ上で入力する取引認証方法の呼び方については 色々な議論があるよう [twitter.com]で、「トランザクション署名(transaction signing)」という用語は暗号学的には間違いだそうです。

     ちなみに、セキュリティトークンの写真 [mizuhobank.co.jp] を見てみますと、解像度が非常に低く分かりにくいですが、左下に「VASCO」のロゴのようなものが見えます。機能やデザインなどから考えて、セキュリティトークンの機種は VASCO 社 の DIGIPASS 270 [vasco.com] であると思われます。この機種であるとすると、セキュリティデバイスを盗難された時の為の6桁の暗証番号(PINコード)を設定することが可能です。また、口座番号入力後に生成されるメッセージ認証コード(MAC)は、数字6桁です。

    • by Anonymous Coward

      よく分からんけど、元記事を読むと、あらかじめ登録しておいた振込先以外には、ネットからの振り込み依頼は受け付けないというだけの仕組みに見えるんだけど、違うなら手短に説明してほしい。

      • 違います。もし、事前登録先にしか振込できないのならば、わざわざセキュリティデバイスを導入しなくても、不正振込被害は殆ど発生しないでしょう。

        今回導入されるトランザクション認証は、振込先口座番号をブラウザ上・セキュリティトークンの二か所に入力して振込手続きを進め、最後にセキュリティデバイスに表示された「メッセージ認証コード(MAC)」をブラウザに入力することで、MITBなどによる振込先口座番号の改ざんを防ぐ(マルウェアに感染していたり、中継型のフィッシング詐欺サイトに引っかかった場合でも不正振込を防ぐ)仕組みです。

        日本全国、どの口座に対しても事前登録なしで振り込めるという利便性があります。

        親コメント
      • by Anonymous Coward

        オレの理解

        カード暗証番号と振込先口座番号を専用のOTPカードに入力する。
        入力値を基にしてOTPカード内で一向性ハッシュ値を生成し画面に表示する。
        ハッシュ値を使い捨ての取引パスワードとして振込実行をする。

        ※トークン方式はボタン押したときに時刻をキーにハッシュ生成するものらしい。

        ポイント(1)
        乱数表が機械化されているので複製される可能性が極めて低い。

        ポイント(2)
        PCにキーロガーが仕込まれて暗証番号と取引パスワードが流出したとしても振込先が固定なので悪用の可能性はほぼ無い。

        懸念
        でも、ぶっちゃけOTPカードの計算式が解析される可能性って無いの?

        • by Anonymous Coward

          懸念
          でも、ぶっちゃけOTPカードの計算式が解析される可能性って無いの?

          たとえ計算式が分かってもハッシュの逆写像を(その値が有効なうちに)計算できないと
          任意の振り込み先口座に振り込むことはできないので、カードの内部状態を別の手段で
          知ることが出来ないとすると計算式までは漏れても安全なのでは。

    • シティバンク [citibank.co.jp]がDIGIPASS 270で、三井住友銀行 [smbc.co.jp]とゆうちょ銀行 [japanpost.jp]はDIGIPASS 275 [vasco.com]を採用しています。

      ※全

      • by Anonymous Coward
        類似品でNagraIDもありますね。
        こちらかATMカードと一体化できます。
      • by Anonymous Coward

        あーもー、スマホのアプリにしてくれよー。

      • by Anonymous Coward

        こういうのって財布に入れて尻ポケットに入れてると壊れたりしないですか。

  • なんかバカにした反応が圧倒的ですが、Vascoのデバイスは既にゆうちょ銀行、シティあたりが導入してます。

    何もMizuhoがバカにされる筋合いはありません。念のため。
    • by Anonymous Coward

      国内企業のIT記事はとりあえず鼻で笑っとけばいいんでしょ?的な

      • by Anonymous Coward

        こんなのいちいち海外から買ってこないといけないわけ?

    • by Anonymous Coward

      実装済みって、トランザクション認証をか?
      デバイスは導入してるけど、OTP発生器としてしか運用してないんじゃないのか?

    • by Anonymous Coward

      ゆうちょは無駄にボタンがボタンが多いOTPでしかないがな

    • by Anonymous Coward

      「トランザクション認証が使えるデバイスを(無駄に)導入している」と「トランザクション認証を導入する(デバイスの機能を実際に活用する)」の区別もつかないの?

  • by Anonymous Coward on 2015年01月26日 23時54分 (#2750588)

    リンク先は半年くらい前に三井住友銀行がパスワードカードを導入した時の話。
    別に氏が光の速さでこの件に反応したわけではないので念の為。

    • by Anonymous Coward

      光の速さで反応するって言い方も変だけどな

      • by Anonymous Coward

        タキオンじゃねーか

      • by Anonymous Coward

        光の速さで明日へダッシュさ

  • by Anonymous Coward on 2015年01月27日 13時26分 (#2750809)

    このお知らせは、みずほ銀行の本物の案内なのか、怪しい偽サイトによる誘導なのかネット上で簡単に見分ける方法を教えて下さい!
    サイトに書いてある電話番号に電話したってダメですよ。

    一応貼っておきますね。
    みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に | スラッシュドット・ジャパン セキュリティ
    http://security.srad.jp/story/15/01/16/0345236/ [srad.jp]

    • このお知らせは、みずほ銀行の本物の案内なのか、怪しい偽サイトによる誘導なのかネット上で簡単に見分ける方法を教えて下さい!
      サイトに書いてある電話番号に電話したってダメですよ。

      お答えしましょう。実は、裏ワザがあるのです。

      http://www.mizuhobank.co.jp/direct/security/password_card/index.html [mizuhobank.co.jp] (HTTP)

      にはアクセスできますが、"http" の部分を "https" に書き換えてみると……、

      https://www.mizuhobank.co.jp/direct/security/password_card/index.html [mizuhobank.co.jp] (https/ EV証明書)

      「目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/~」を「http://www.mizuhobank.co.jp/~」に修正し(httpsの”s”を削除)……」というエラーになってしまいます。

      ここで裏ワザです。URL におまじないのパラメーター "?arege" (アージェと読みます、アレゲではありません) を付けると、https (EV証明書) でアクセスできるようになるのです。

      https://www.mizuhobank.co.jp/direct/security/password_card/index.html?arege [mizuhobank.co.jp] (HTTPS / EV証明書) ← 試してみて下さい

      凄いでしょう ^-^;;;

      ちなみに、私がこのストーリーをタレこんだ時 [srad.jp] には、変なパラメータを付けて強引に https (EV証明書) で表示するリンクにしておいたのですが、hylom 氏に普通のリンクに書き換えられてしまったのですorz (まぁいつまで有効か分からないバッドノウハウですので仕方無いですが……)

      この方法を使うと、お問い合わせ先の電話番号 [mizuhobank.co.jp] (https/ EV証明書) なども、信頼できない公衆Wi-Fiから安全に確認することができて大変便利です。

      親コメント
    • by Anonymous Coward

      既にみずほ銀行の利用者ならキャッシュカードに書いてある電話番号に電話を掛けて問い合わせればいいんじゃないの。
      まあ、他に選択肢はいくらでもあるだろうに、何故わざわざみずほ銀行なんか使っているんだろうとは思うけど。

      • by Anonymous Coward

        「ネット上で簡単に見分ける方法」の回答にはなってないけど、まあその通りです。
        ちなみに、法人の給与振込に対して手数料が安めに設定されていて、会社の指定銀行になってたりするんだそうな。

    • by Anonymous Coward

      正しいかどうかはともかく、申し込みのためにはインターネットバンキングにログインするか、窓口に行くしかないわけだから、そこにあるリンクをクリックしない限りは実害がない。信用できないWebページやメールのリンクはクリックしないという、ごく初歩的な対応すればいいだけの話。

      • by Anonymous Coward

        MITMによって申し込み方法が「郵送」に書き換えられたと同時に、それらしい偽の郵便物が届いた場合に、
        ネット上で簡単に信用たる情報が得られないのはまずいんじゃないかなー。
        郵便物に書いてあるURLにネットバンクのID/パスワード入れちゃったり、個人情報書いて郵便物として返送しちゃったり。

        • by Anonymous Coward

          郵便物に書いてあるURLにネットバンクのID/パスワード入れちゃったり、個人情報書いて郵便物として返送しちゃったり。

          ネット上に信用できる情報がなかったら、そういうことを書いて郵送しちゃうの?

          まあ、そういうことをやっちゃう人が少なからずいるから、そういう人のとっての対策として信用できる情報をネットで得られるようにしておくべきという意見もあるかもしれないけど、そういう人たちが証明書が正しいかなんてチェックするとは思えんから、そういう人たちにとっては無意味。「ネットワークの障害のため、今回は証明書なしで情報を提供しています」とでも書いておけば、それで信用するよ。

  • by Anonymous Coward on 2015年01月26日 22時09分 (#2750534)

    正しいトランザクション認証ができるぐらいのITリテラシーがあるなら、そもそも不正送金被害にあわないだろw
    カードの動作確認とか言われてホイホイ入力して、役にたたんだろうなw

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...