2014年07月28日

金融機関のMITB対策について

前からMITB攻撃という言葉がよく金融機関相手に出てきています。
それでも十分知れ渡ってきているため、最近では金融機関以外のサービスも狙われてきています。

MITB攻撃=Man In The Browser攻撃の略です。
簡単に言えば、対象者のPCにトロイの木馬を仕掛け、被害者が銀行のサービスを利用しているときに、被害者が気づかない間に不正にブラウザを操作してしまう攻撃です。
この攻撃を受けてしまうと、被害者は気づかない間に、金融機関のサービスであれば加害者の口座に不正に送金する作業を勝手に行われてしまいます。

この攻撃に対しての対策は大まかに三つあります。
1. 二要素認証
2. 専用のセキュリティ対策ソフトウェアの導入
3. トランザクション署名

1. 二要素認証は簡単です。ログイン時にパソコン以外の独立した別のデバイスでもログインをすることを意味します。たとえば携帯電話などを利用します。これによって勝手にログインされてしまうリスクを減らすことができます。ですが、ログインできてしまえば攻撃できるのですから、攻撃者は対象者がログインするまで待つことで、攻撃を可能にできてしまう可能性も指摘されています。

2. 専用のセキュリティ対策ソフトウェアの導入は、これまでのウィルス対策ソフトウェアよりももっと高度で、MITB攻撃に特化した検出に強みを持つソフトウェアです。
接続しているサイトが偽物ではないか検出すること、不正なソフトウェアがないかを検出すること等、各種対応が実装されていますが、まずこのソフトウェアを導入する前に、不正なソフトウェアが導入されていた場合には効果がない可能性があります。また、こういったソフトウェアは銀行からは無償でユーザーに提供されます。よって、攻撃者もこのソフトウェアを解析できてしまい、バグを突かれる可能性も否定できません。

3. トランザクション署名は、ワンタイムトークンを発行するハードウェアなどを併用し、送金をブラウザから実施した場合、そのハードウェアに表示された番号も同時に入力する必要があるものです。
そのハードウェアが発行する番号は、一定の時間で変化し、変化の仕方は端末ごとによって異なります。よって、攻撃者は利用者が持っているハードウェアをリアルタイムで見られる環境になければ、勝手にブラウザを乗っ取っても、同時に必要な番号がわからず、処理が受理されません。
この方法は非常に有効ですが、まずハードウェアが必要であること、そして、そのハードウェアの情報をすぐに盗み見ることができる状況、つまり、たまたまWebカムがPCについていて、Webカム経由でのぞかれていたなど、レアケースには対抗しにくい点が課題かもしれません。

よって、通常は上記3種類の組み合わせが必要となります。

でも、もっと単純な方法があると思います。
被害が発生するケースは、不正に送金されるなどの特定のオペレーションです。そのオペレーションがされた時だけ、携帯などの二要素認証に利用する端末にメールを送信し、そのメールにどういうオペレーションを現在しようとしているかサマリが表示されるようにします。
その内容が正しければ、メールにある認証情報をもとにオペレーションを継続するよう指示を出せば処理が完結するようにします。

利用者は不正な操作があればメールで気づき、その後の作業は承認しなければよく、同時に自分の操作もメールで記録を残せます。

もしかしたら私が知らないだけで、ログイン以外にも上記のような二要素認証が適用されているのかもしれませんが、具体的な内容にあえて触れず簡単にしか説明しませんでしたが、不正被害にあいやすいオペレーションの結果も二要素認証の対象としてしまえば、もう少し簡単かつ確実な対策があるのではないかと感じますが、いかがでしょうか。
posted by Kiruahさん at 01:00| Comment(0) | TrackBack(0) | ノウハウ