みずほ銀行、邦銀初となる「トランザクション認証」を導入 48
ストーリー by hylom
セキュリティ強化 部門より
セキュリティ強化 部門より
Printable is bad. 曰く、
みずほ銀行が邦銀初となる「トランザクション認証」に対応した「ワンタイムパスワードカード」の取り扱いを2015年3月下旬より開始する(「ワンタイムパスワードカード」取り扱い開始のお知らせ)。
トランザクション認証は、ワンタイムパスワードカードに振込先口座番号を入力してワンタイムパスワードを生成させるシステム。生成されたワンタイムパスワードでは指定した口座番号以外には振り込みを行えない仕組みだ。
トランザクション認証に対応したトークンを正しく用いれば、ユーザーが利用するコンピュータがマルウェアに感染していたとしても、Man-in-the-Browser (MITB)と呼ばれる手法を完全に防ぐことができる。
しかしながら、高木浩光氏の指摘もあるように、ユーザーがパスワードカードに「送金先の口座番号」ではなく「マルウェアが出力したパソコン上に表示された数値」を入力してしまった場合には、不正振込を防ぐことができない。そのため、みずほ銀行が、「ワンタイムパスワードカード」の説明書やインターネットバンキングのUIにおいて、ユーザーが誤ったトークンの使い方をしないよう適切な配慮を行うことに期待したい。
正確には「ワンタイムパスワード」ではなく「メッセージ認証コード(MAC)」 (スコア:5, 参考になる)
(このコメントでは、みずほ銀行の「ワンタイムパスワードカード」を「セキュリティトークン」と表記します。)
タレコミ本文では、振込時にブラウザ上に入力する数字(セキュリティトークンに振込先口座番号を入力後に表示される数字)を、みずほ銀行の発表通りに 「ワンタイムパスワード」 としましたが、技術的に正確な用語を用いると 「メッセージ認証コード(Message Authentication Code:MAC)」 です。メッセージ認証コード(MAC)とは、データ改ざんの有無を検知するための固定長コードのことで(用語詳細) [capm-network.com]、今回導入されるシステムでは「振込先口座番号」の改ざんの有無を検出するために用いられます。パスワードは、「利用者が本人であることを確認するための認証に用いる文字列」 のことですから、用語として適切ではありません(広義の「パスワード」ではあるかもしれませんが)。
また、振込先口座番号に対するメッセージ認証コード(MAC)をセキュリティトークンで生成し、ブラウザ上で入力する取引認証方法の呼び方については 色々な議論があるよう [twitter.com]で、「トランザクション署名(transaction signing)」という用語は暗号学的には間違いだそうです。
ちなみに、セキュリティトークンの写真 [mizuhobank.co.jp] を見てみますと、解像度が非常に低く分かりにくいですが、左下に「VASCO」のロゴのようなものが見えます。機能やデザインなどから考えて、セキュリティトークンの機種は VASCO 社 の DIGIPASS 270 [vasco.com] であると思われます。この機種であるとすると、セキュリティデバイスを盗難された時の為の6桁の暗証番号(PINコード)を設定することが可能です。また、口座番号入力後に生成されるメッセージ認証コード(MAC)は、数字6桁です。
Re: (スコア:0)
よく分からんけど、元記事を読むと、あらかじめ登録しておいた振込先以外には、ネットからの振り込み依頼は受け付けないというだけの仕組みに見えるんだけど、違うなら手短に説明してほしい。
Re:正確には「ワンタイムパスワード」ではなく「メッセージ認証コード(MAC)」 (スコア:4, 参考になる)
違います。もし、事前登録先にしか振込できないのならば、わざわざセキュリティデバイスを導入しなくても、不正振込被害は殆ど発生しないでしょう。
今回導入されるトランザクション認証は、振込先口座番号をブラウザ上・セキュリティトークンの二か所に入力して振込手続きを進め、最後にセキュリティデバイスに表示された「メッセージ認証コード(MAC)」をブラウザに入力することで、MITBなどによる振込先口座番号の改ざんを防ぐ(マルウェアに感染していたり、中継型のフィッシング詐欺サイトに引っかかった場合でも不正振込を防ぐ)仕組みです。
日本全国、どの口座に対しても事前登録なしで振り込めるという利便性があります。
Re: (スコア:0)
オレの理解
カード暗証番号と振込先口座番号を専用のOTPカードに入力する。
入力値を基にしてOTPカード内で一向性ハッシュ値を生成し画面に表示する。
ハッシュ値を使い捨ての取引パスワードとして振込実行をする。
※トークン方式はボタン押したときに時刻をキーにハッシュ生成するものらしい。
ポイント(1)
乱数表が機械化されているので複製される可能性が極めて低い。
ポイント(2)
PCにキーロガーが仕込まれて暗証番号と取引パスワードが流出したとしても振込先が固定なので悪用の可能性はほぼ無い。
懸念
でも、ぶっちゃけOTPカードの計算式が解析される可能性って無いの?
Re: (スコア:0)
たとえ計算式が分かってもハッシュの逆写像を(その値が有効なうちに)計算できないと
任意の振り込み先口座に振り込むことはできないので、カードの内部状態を別の手段で
知ることが出来ないとすると計算式までは漏れても安全なのでは。
VASCO 社 の DIGIPASS 275かもしれないよ (スコア:0)
シティバンク [citibank.co.jp]がDIGIPASS 270で、三井住友銀行 [smbc.co.jp]とゆうちょ銀行 [japanpost.jp]はDIGIPASS 275 [vasco.com]を採用しています。
※全
Re: (スコア:0)
こちらかATMカードと一体化できます。
Re: (スコア:0)
あーもー、スマホのアプリにしてくれよー。
Re: (スコア:0)
こういうのって財布に入れて尻ポケットに入れてると壊れたりしないですか。
ゆうちょは既に実装済みです (スコア:3)
何もMizuhoがバカにされる筋合いはありません。念のため。
Re: (スコア:0)
国内企業のIT記事はとりあえず鼻で笑っとけばいいんでしょ?的な
Re: (スコア:0)
こんなのいちいち海外から買ってこないといけないわけ?
Re: (スコア:0)
何の話してるんだ?
Re: (スコア:0)
実装済みって、トランザクション認証をか?
デバイスは導入してるけど、OTP発生器としてしか運用してないんじゃないのか?
Re: (スコア:0)
ゆうちょは無駄にボタンがボタンが多いOTPでしかないがな
Re:ゆうちょは既に実装済みです (スコア:2)
「ボタンが」が無駄に多いことで、無駄なボタンの多さを表現する見事なレトリック。感服です。
Re: (スコア:0)
「トランザクション認証が使えるデバイスを(無駄に)導入している」と「トランザクション認証を導入する(デバイスの機能を実際に活用する)」の区別もつかないの?
Re:ゆうちょは既に実装済みです (スコア:1)
「高木浩光氏の指摘もあるように」とありますが (スコア:1)
リンク先は半年くらい前に三井住友銀行がパスワードカードを導入した時の話。
別に氏が光の速さでこの件に反応したわけではないので念の為。
Re: (スコア:0)
光の速さで反応するって言い方も変だけどな
Re: (スコア:0)
タキオンじゃねーか
Re: (スコア:0)
光の速さで明日へダッシュさ
このお知らせは信用できるのか (スコア:1)
このお知らせは、みずほ銀行の本物の案内なのか、怪しい偽サイトによる誘導なのかネット上で簡単に見分ける方法を教えて下さい!
サイトに書いてある電話番号に電話したってダメですよ。
一応貼っておきますね。
みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に | スラッシュドット・ジャパン セキュリティ
http://security.srad.jp/story/15/01/16/0345236/ [srad.jp]
Re:このお知らせは信用できるのか (スコア:3)
お答えしましょう。実は、裏ワザがあるのです。
http://www.mizuhobank.co.jp/direct/security/password_card/index.html [mizuhobank.co.jp] (HTTP)
にはアクセスできますが、"http" の部分を "https" に書き換えてみると……、
https://www.mizuhobank.co.jp/direct/security/password_card/index.html [mizuhobank.co.jp] (https/ EV証明書)
「目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/~」を「http://www.mizuhobank.co.jp/~」に修正し(httpsの”s”を削除)……」というエラーになってしまいます。
ここで裏ワザです。URL におまじないのパラメーター "?arege" (アージェと読みます、アレゲではありません) を付けると、https (EV証明書) でアクセスできるようになるのです。
https://www.mizuhobank.co.jp/direct/security/password_card/index.html?arege [mizuhobank.co.jp] (HTTPS / EV証明書) ← 試してみて下さい
凄いでしょう ^-^;;;
ちなみに、私がこのストーリーをタレこんだ時 [srad.jp] には、変なパラメータを付けて強引に https (EV証明書) で表示するリンクにしておいたのですが、hylom 氏に普通のリンクに書き換えられてしまったのですorz (まぁいつまで有効か分からないバッドノウハウですので仕方無いですが……)
この方法を使うと、お問い合わせ先の電話番号 [mizuhobank.co.jp] (https/ EV証明書) なども、信頼できない公衆Wi-Fiから安全に確認することができて大変便利です。
Re: (スコア:0)
既にみずほ銀行の利用者ならキャッシュカードに書いてある電話番号に電話を掛けて問い合わせればいいんじゃないの。
まあ、他に選択肢はいくらでもあるだろうに、何故わざわざみずほ銀行なんか使っているんだろうとは思うけど。
Re: (スコア:0)
「ネット上で簡単に見分ける方法」の回答にはなってないけど、まあその通りです。
ちなみに、法人の給与振込に対して手数料が安めに設定されていて、会社の指定銀行になってたりするんだそうな。
Re: (スコア:0)
正しいかどうかはともかく、申し込みのためにはインターネットバンキングにログインするか、窓口に行くしかないわけだから、そこにあるリンクをクリックしない限りは実害がない。信用できないWebページやメールのリンクはクリックしないという、ごく初歩的な対応すればいいだけの話。
Re: (スコア:0)
MITMによって申し込み方法が「郵送」に書き換えられたと同時に、それらしい偽の郵便物が届いた場合に、
ネット上で簡単に信用たる情報が得られないのはまずいんじゃないかなー。
郵便物に書いてあるURLにネットバンクのID/パスワード入れちゃったり、個人情報書いて郵便物として返送しちゃったり。
Re: (スコア:0)
ネット上に信用できる情報がなかったら、そういうことを書いて郵送しちゃうの?
まあ、そういうことをやっちゃう人が少なからずいるから、そういう人のとっての対策として信用できる情報をネットで得られるようにしておくべきという意見もあるかもしれないけど、そういう人たちが証明書が正しいかなんてチェックするとは思えんから、そういう人たちにとっては無意味。「ネットワークの障害のため、今回は証明書なしで情報を提供しています」とでも書いておけば、それで信用するよ。
バカをなめてはいけない (スコア:0)
正しいトランザクション認証ができるぐらいのITリテラシーがあるなら、そもそも不正送金被害にあわないだろw
カードの動作確認とか言われてホイホイ入力して、役にたたんだろうなw
「いかにも素人考えのセキュリティ対策」とは (スコア:4, 参考になる)
今回みずほ銀行が導入する「トランザクション認証」は、セキュリティトークンに振込先口座番号以外の数字を入力するという間違いさえ犯さなければ、下記の攻撃全てを防ぐことができる優れものです。
スラッシュドットに居るアレゲな方の多くは、ドメイン名や EV SSL 証明書などを確認するでしょうから、フィッシング詐欺に絶対に引っかからない自信があるでしょう。しかし、普段使っている自分のパソコンが100%マルウェアに感染していないという確証は掴めないと思います。今回の「トランザクション認証」の導入は、マルウェアによるMITB攻撃を防ぐことができるものなので、「パソコン初心者」から「セキュリティオタク」まで、幅広いユーザーにとって有益なものだと思います。決して、「いかにも素人考えのセキュリティ対策」ではありません。
「いかにも素人のセキュリティ対策」の典型としては、今までみずほ銀行がやってきた 「合言葉」による追加認証 [mizuhobank.co.jp] が挙げられます。3つも合言葉を覚えることになり利便性が著しく損なわれますから、「トランザクション認証」の利用を開始した顧客については無しにしていただきたいものです。
また、みずほ銀行のコンテンツページへのHTTPSでのアクセスのブロック [srad.jp] といった害でしかないような改悪も、素人考えのセキュリティ対策と言えます。
あと、あちこちの銀行が導入させている PhishWall [securebrain.co.jp] も「いかにも素人考えのセキュリティ対策」だと思います。EV SSL の確認方法の説明だけで十分であって、訳の分からんアプリケーションを導入させることに慣れさせる害の方が大きいと思います。
Re:「いかにも素人考えのセキュリティ対策」とは (スコア:2, 参考になる)
トランザクション認証自体は真っ当な発想で、正しく実装すれば安全性が改善するということを書かなかったのは間違いだった。謝る。
「トランザクション認証」は、セキュリティトークンに振込先口座番号以外の数字を入力するという間違いさえ犯さなければ、下記の攻撃全てを防ぐことができる
ここがキモで、三井住友に対する高木氏の指摘への返信 [twitter.com]にもあるポイント。顧客が詐欺に遭う時に「このトークンに口座番号を入力しないとか、他人の口座を打ち込ませるというのはおかしいぞ」と気づけば、あるいはトークンを無視して詐欺師が間違った認証コードを送れば、詐欺は失敗する。
しかし、詐欺師は自分に都合の良い説明を書きつけるのだから、「手順が変わった」「試験のためコードを入力する」「口座ではなくパスワードを入力する」などと言って騙す可能性がある。これを防ぐには本物のページに何を書いても駄目で、トークンを渡した時点から顧客に「これは口座番号を1回だけ入れるものだ」というように刷り込まないといけない。
日本の銀行はこの点で失敗を繰り返していて、本物のページにごてごてと注意喚起や指示を撒き散らし、手順を頻繁に変えたり複雑にしたりして、偽サイトで細部が異なっても気づかないようにしてきてしまった過去がある。これを繰り返さないでほしいと思って元コメを書いた。
Re:「いかにも素人考えのセキュリティ対策」とは (スコア:1)
なんでMITB対策ソフトとEV SSLの確認が同列で語られてるんだよ・・・
IEのMITBの場合はWinInet APIをフックしてAPIからブラウザにデータが渡る所で改ざんするから、MITBで改ざんされてもSSL証明書は正規のサイトの物が使われてるように見えるんだよ。
だからSSLの確認は全く意味がない。
EV SSL の確認だけでセキュリティ対策が十分だと思ってるのは、いかにも素人考えだと思います。
Re:「いかにも素人考えのセキュリティ対策」とは (スコア:2)
すみません。昔は PhishWall は単にドメイン名や証明書をチェックするだけのツール [takagi-hiromitsu.jp] だったので、今もそうだと思ってコメントしちゃいました。自分で貼った リンク先のページ [securebrain.co.jp] もよく読んでなかったんですが、下の方をよく見てみると、MITB 対策機能もあるようですね。Version 4.0 で実装された [securebrain.co.jp] ようです。
MITB攻撃用のマルウェアとその対策ソフトというのは、ウイルスとウイルス対策ソフトの構図と同様に「いたちごっこ」となりますが、確かにMITB対策として一定の効果はありそうです。(トランザクション認証の導入は、MITB対策ソフトと違い、MITBに対する根本的な防御策です)
Re: (スコア:0)
最近のガキってプロトコルが何もわかってなくて、上っしか見てない。
といってもここはスラドだしね。
やれやれ。
Re: (スコア:0)
SSL(の初めのやりとり)も今回のも、
思いもしないランダムな質問をして、答えさせる
ゼロ知識で、SSLは自動的になされるから、枝を
張られたり、目を盗まれたりする可能性があるが、
今度のは、人間が手ずからやるから、そうなり難い
のでは?
Re: (スコア:0)
人手なので操作する人間が正しく判断しなければいけない。画面に表示された指示にほいほい従えば何の効果もない。
例えばフィッシングサイトやウイルスが送金確認段階まで自動で進め、ユーザがそれを盲信して承認したら無駄。
Re: (スコア:0)
正誤ランダムに10回位、入力して
全部打ち終わってから答え合わせ
すれば、サーバー側の認証の代わりに
なるのでは?
今回はその第一歩とか。
Re: (スコア:0)
じゃあ逆に聞きたいんだけど、「素人考えじゃないセキュリティ対策」って何だろう。
少なくともユーザーの利便性を著しく損なわない範囲でやるとしたら、OTPなりトランザクション認証ぐらいが限界だと思うんだけど。
Re: (スコア:0)
「文民」て、中学レベルの単語ですが。この機会にちゃんと覚えた方が良さそうですね。
Re: (スコア:0)
わしらマーチやりますから
Re: (スコア:0)
http://www.weblio.jp/content/%E6%96%87%E6%B0%91 [weblio.jp]
三省堂
ぶん みん [0] 【文民】
① 〔civilian の訳語〕 軍人でないもの。日本国憲法は「内閣総理大臣その他の国務大臣は,文民でなければならない」とする。
この意味で使ったんだがね。分かってて聞いてるんだろ?
Re: (スコア:0)
その意味で使っててどうして「エンジニアが作って文民が壊す」ってなるのか
余計分からんくなったじゃんかよう
銀行のシステムやってるエンジニアだって文民だろう?
Re: (スコア:0)
「文民」を用いた意図の詳しい解説を。興味深い。
Re: (スコア:0)
”秘密の質問”とかね
アホが単純なパスワード使うからってまともなユーザーにまで強制させんなっての
そのくせ安易なパスワードで不正操作されたらユーザーにも責任あるって言うんだから
Re: (スコア:0)
アホじゃない人は、そういうのには充分長い
無意味でランダムな文字列を設定するんじゃないの?
そしてそういうサービスはパスワードが漏れても
困らない用途にしか使わないから、どうでもいい気がする。
Re: (スコア:0)
無意味で長いランダム文字列を設定したのに秘密の質問まで設定させられるのが煩わしいんだよ
大文字小文字記号混じりのパスワードが拒否されて、数字が入っていませんエラー。
数字を加えて再度登録しようとしたら、記号が入っていますエラー。
記号使えるだけでパスワードの強度が跳ね上がるんだから使わせて欲しいな。