米国オンライン・バンキングは相互認証対策が不十分とのセキュリティ専門家の指摘
4月20日にSANS 研究所(筆者注1)のヨハネス・ウーリッヒ(Johannes Ullrich)は、顧客がオンラインバンキングのログイン時に、ブラウザのセキュリティ(HTTPSページの使用の徹底)のもっと関心を持たせるべきであり、そのような銀行の工夫例を紹介している。
なお、わが国の大手銀行等のインターネット・バンキングのログイン画面を見る限り、HTTPS化されているが、ウェブブラウザで怪しいと感じたときはロックアイコンのクリックを顧客に求めている例も一部あり、後者につきさらに徹底して欲しいものである。
1.オンライン・バンキングで「ログイン」や「サインイン」時に顧客は本当に銀行のセンターに接続されているか否かにつき、疑いをもつであろうか。確かにそれらの入力情報はDNS(筆者注2)において暗号化されるであろうが、ウェブ自体が真正なものであるかの判断は顧客がリスクを負うのである。
ハッカーは、HTTPSを使用していない銀行のウェブの接続上の脆弱性を狙って、「DNSなりすまし詐欺(DNS spoofing)」と言う手口を使ってウェブブラウザへの入力情報を偽のウェブサイトにリンクさせるのである(最終的には機微情報の入手によるなりすまし詐欺に悪用する)。この手口は技術的に高度なレベルのハッカーにとっては、phishingよりも容易であるともいえる。
2.ウーリッヒは、米国の銀行がなぜログイン時にSSL認証を利用しないのかを調べるため、多くの銀行のサイトを実際調べた結果、大手銀行ではSSL認証を導入しているが、一方でSSL認証をオプションにしている銀行もある。(筆者注3)
3.オンライン上での顧客情報保護に関して、独自のセキュリティ対策を採っているのが、Bank of America である。同行のホームページでのログイン時にまず「オンラインID」のみ入力する。次画面で「SiteKey」が表示され、顧客はその確認後「Passcode」を入力するのである。(筆者注4)
(筆者注1)SANS Instituteは、政府や企業・団体間における研究およびそれらに所属する人のITセキュリティ教育を目的として1989年に設立された組織(本部:米国ワシントンDC)。日本の窓口としてSANS Japanがある。
(筆者注2)DNS(ディー・エヌ・エス)とは、Domain Name System(ドメイン・ネーム・システム)の略。“soumu.go.jp.”などのドメイン名をIPアドレスに変換する仕組みのこと。インターネットでは、数字で構成されるIPアドレスのみでも通信することができるが、ドメイン名はIPアドレスとは異なり、“soumu.go.jp”のような文字列で記述できるため、人間にとって扱いやすいことから、DNSという仕組みが作り出された。(総務省「国民の情報セキュリティサイト」の説明より。アニメもあって家族での勉強に最適)。
(筆者注3)筆者が独自に米国の中小銀行のサイトでサンプル調査したが、ウーリッヒが指摘している通り、ログイン画面時「http」で意図的に誤ったパスワードを入力すると「https」に変わる銀行の例(BANK of DUDLEY)がある。
(筆者注4)
この具体的説明が、下記のURLのログイン画面下の注書をクリックすると見れる。
http://www.bankofamerica.com/
〔参考URL〕http://www.computerworld.com/securitytopics/security/story/0,10801,110738,00.html?source=NLT_AM&nid=110738
Copyrights (c)2006 福田平冶 All rights Reserved
なお、わが国の大手銀行等のインターネット・バンキングのログイン画面を見る限り、HTTPS化されているが、ウェブブラウザで怪しいと感じたときはロックアイコンのクリックを顧客に求めている例も一部あり、後者につきさらに徹底して欲しいものである。
1.オンライン・バンキングで「ログイン」や「サインイン」時に顧客は本当に銀行のセンターに接続されているか否かにつき、疑いをもつであろうか。確かにそれらの入力情報はDNS(筆者注2)において暗号化されるであろうが、ウェブ自体が真正なものであるかの判断は顧客がリスクを負うのである。
ハッカーは、HTTPSを使用していない銀行のウェブの接続上の脆弱性を狙って、「DNSなりすまし詐欺(DNS spoofing)」と言う手口を使ってウェブブラウザへの入力情報を偽のウェブサイトにリンクさせるのである(最終的には機微情報の入手によるなりすまし詐欺に悪用する)。この手口は技術的に高度なレベルのハッカーにとっては、phishingよりも容易であるともいえる。
2.ウーリッヒは、米国の銀行がなぜログイン時にSSL認証を利用しないのかを調べるため、多くの銀行のサイトを実際調べた結果、大手銀行ではSSL認証を導入しているが、一方でSSL認証をオプションにしている銀行もある。(筆者注3)
3.オンライン上での顧客情報保護に関して、独自のセキュリティ対策を採っているのが、Bank of America である。同行のホームページでのログイン時にまず「オンラインID」のみ入力する。次画面で「SiteKey」が表示され、顧客はその確認後「Passcode」を入力するのである。(筆者注4)
(筆者注1)SANS Instituteは、政府や企業・団体間における研究およびそれらに所属する人のITセキュリティ教育を目的として1989年に設立された組織(本部:米国ワシントンDC)。日本の窓口としてSANS Japanがある。
(筆者注2)DNS(ディー・エヌ・エス)とは、Domain Name System(ドメイン・ネーム・システム)の略。“soumu.go.jp.”などのドメイン名をIPアドレスに変換する仕組みのこと。インターネットでは、数字で構成されるIPアドレスのみでも通信することができるが、ドメイン名はIPアドレスとは異なり、“soumu.go.jp”のような文字列で記述できるため、人間にとって扱いやすいことから、DNSという仕組みが作り出された。(総務省「国民の情報セキュリティサイト」の説明より。アニメもあって家族での勉強に最適)。
(筆者注3)筆者が独自に米国の中小銀行のサイトでサンプル調査したが、ウーリッヒが指摘している通り、ログイン画面時「http」で意図的に誤ったパスワードを入力すると「https」に変わる銀行の例(BANK of DUDLEY)がある。
(筆者注4)
この具体的説明が、下記のURLのログイン画面下の注書をクリックすると見れる。
http://www.bankofamerica.com/
〔参考URL〕http://www.computerworld.com/securitytopics/security/story/0,10801,110738,00.html?source=NLT_AM&nid=110738
Copyrights (c)2006 福田平冶 All rights Reserved
posted by watchdogman | 6:26 PM
0 Comments:
Post a Comment
<< Home