MITB、MITMと不正送金ー@HiromitsuTakagi 氏のツイートを軸として

ワンタイムパスワードを利用したオンラインバンキングでのMITB攻撃に関して
15
Naoki Asakawa / 浅川直輝 @nasakawa

@HiromitsuTakagi 次にMITB対策は?と聞かれれば、ベンダーとしては有償でこういったものを勧めることになると思われます。m.cloud.watch.impress.co.jp/docs/news/2014…

2014-09-19 21:39:43
Hiromitsu Takagi @HiromitsuTakagi

その記事ですが、「ログイン情報(サイトのドメインや時間など)を表示できるため、正規のサイトかをスマホ上で確認できる。」は疑問です。 @nasakawa cloud.watch.impress.co.jp/docs/news/2014…

2014-09-19 22:49:39
Hiromitsu Takagi @HiromitsuTakagi

「送金金額や振込先が途中で勝手に改ざんされていないかを確かめられるため、MITB攻撃の対策としても一定の効果があるという。」は、そうかなと思いましたが、「一定の」と弱気なのが謎なのと、シマンテックのプレスリリースには書かれてないのが気になります。 @nasakawa

2014-09-19 22:50:31
Hiromitsu Takagi @HiromitsuTakagi

住信SBIの「スマート認証」は、2007年のこれ takagi-hiromitsu.jp/diary/20070923… の「携帯電話側で取引内容を確認(振込先等を確認)する方式のことだろう」の部分が実現されたもののようで、たぶん有効でしょう。ただ気になるのは、 @twitthal

2014-09-19 23:17:15
Hiromitsu Takagi @HiromitsuTakagi

…ただ気になるのは、使用方法 blog.netbk.co.jp/2014/03/blogin… の「(2)スマート認証アプリで取引番号と取引内容を確認」のところに「WEBサイトの6桁の取引番号(略)が同一であることを確認し」とある点。なぜ取引番号の一致確認が必要なのだろう?と。 @twitthal

2014-09-19 23:20:04
Hiromitsu Takagi @HiromitsuTakagi

③VASCOのMITB対策機能の説明部分で「取引情報にひもづいたパスワードを生成」とあるのですが、それを「パスワード」と呼ぶのはよろしくないなと思っています。利用者がそれが何であるのか誤解しないネーミングが重要かと。私の案としては「確認コード」あたりかなと。 @nasakawa

2014-09-19 23:29:38
Hiromitsu Takagi @HiromitsuTakagi

④「メール配信型のワンタイムパスワード…課題は、ウイルス自身にメールを盗み見られる危険があることだ。このため警察庁は各銀行に「…キャリアメールを勧めるように」と指導している。」とのことですが、そうしたところでMITBでやられてしまいますね。 @nasakawa

2014-09-19 23:35:48
グレン @Light_o_River

@HiromitsuTakagi SBIのも従来の「モバイルキー」認証は、ワンタイムパスワードの代替に近く、MITBを防ぎぎることは出来ないものだったと思います。「スマート認証」は、ご紹介いただいた2007年の高木さんの記事にあるように、二経路認証としては良い方法なのでしょうね。

2014-09-19 23:39:44
Hiromitsu Takagi @HiromitsuTakagi

⑤冒頭、「旧来の認証を見切って新技術の導入に踏み出した」とあるように、記事は全体としてMITB対策の必要性を前提としている印象のところ、「本人を識別する認証セキュリティの強化だ」とあって、本人識別を強化したところで対策にならないのがMITBだよなあと思います。 @nasakawa

2014-09-19 23:39:47
グレン @Light_o_River

@HiromitsuTakagi 取引番号の一致確認は言われてみれば確かに蛇足ですね。スマフォ側に表示される取引内容そのものをよく確認して承認すれば済む話です。そうですね、例えば一つの取引を二人で別々に画面を見ながら読み上げ確認する時の手助けにはなるのかもしれません。

2014-09-19 23:42:29
グレン @Light_o_River

@HiromitsuTakagi 取引承認上は意味が無くても、後日スマフォ側の承認状況と、WEB側で確認できる取引履歴の照合に使うのかと思って確かめてみましたが、スマフォ側の記録にはこの取引番号が表示されますが、WEB側では記録が無いため、この意味も無いということが分かりました。

2014-09-19 23:45:58
Naoki Asakawa / 浅川直輝 @nasakawa

@HiromitsuTakagi すでにOne-time Passwordという名称が海外でも日本でも成立しているので、IT技術者向けの記事ではどうしてもそこにひきずられてしまいますね。仰るとおり、銀行が一般利用者に説明する際は「確認コード」は妥当な表現と思います。

2014-09-20 06:34:20
Naoki Asakawa / 浅川直輝 @nasakawa

@HiromitsuTakagi ④⑤は、OTPをPCに入力させる2要素でなく、PCとスマホの通信機能を活用した2経路の本人認証(取引内容の確認込みで)が当面の有力な対策と思っています。もちろん、欧州ではPCとスマホが同時に乗っ取られる例もあるなど、100%の対策ではないですが。

2014-09-20 06:58:38
pseudoidentifier @pseudoidentifie

取引内容確認を含むものを認証とかパスワードとか呼ぶことの是非を考えたい。 “@nasakawa: @HiromitsuTakagi OTPをPCに入力させる2要素でなく、PCとスマホの通信機能を活用した2経路の本人認証(取引内容の確認込みで)が当面の有力な対策と思っています。”

2014-09-20 09:36:31
Naoki Asakawa / 浅川直輝 @nasakawa

@pseudoidentifie うーん、そこは難しいですね。OTPトークンによるトランザクション認証は、本人認証と取引内容の確認を、一つのワンタイムパスワード(パスコード)で同時に行う方法なので。あくまで呼び方の問題とは思いますが、

2014-09-20 09:41:05
pseudoidentifier @pseudoidentifie

@nasakawa 高木先生は、「利用者がそれが何であるのか誤解しないネーミングが重要かと。私の案としては「確認コード」あたりかなと。」おっしゃっていますが、お考えがあればお伺いできればと思います。 @HiromitsuTakagi

2014-09-20 10:02:56
Naoki Asakawa / 浅川直輝 @nasakawa

@pseudoidentifie @HiromitsuTakagi まず技術用語と利用者向け用語は分けて考察します。前者では「固有ID、時刻情報、取引内容を鍵に生成したワンタイムパスワード」には違いないのでパスワードの呼称でも問題ないかと。(続)

2014-09-20 10:39:13
Naoki Asakawa / 浅川直輝 @nasakawa

@pseudoidentifie @HiromitsuTakagi 後者は銀行ごとに違っていいかと。「確認コード」あるいは「取引確認コードは」は用途が分かりやすいですが、これまでワンタイムパスワードの呼称を広く使っていた銀行なら「パスワード」の方が混乱ないかもしれません。

2014-09-20 10:46:21
Hiromitsu Takagi @HiromitsuTakagi

この資料staff.aist.go.jp/takagi.hiromit…の22頁〜23頁を見てください。VASCO等の手入力方式の肝は、利用者が自分の意図する口座番号をトークンに入力する点にあります。OTPとの名称では、画面の指示通りに数字を入力する方法で騙されてしまいそうです。@nasakawa

2014-09-20 11:12:49
Hiromitsu Takagi @HiromitsuTakagi

これをOTPと呼びたがるのは、従来からあるチャレンジレスポンス方式のOTP(時刻方式ではなく)と同一に見えるためでしょうか、こちらの事例twitter.com/TakagiHiromits…のように、ベンダーの人ですら間違えているのですから、利用者も間違えそうです。@nasakawa

2014-09-20 11:18:03
TAKAGI, Hiromitsu @TakagiHiromitsu

keyman.or.jp/kc/30007296/ 記事は、トランザクション署名を用いる場合でも、「この場合電卓型トークンのみを使用したOCRAでは攻撃を防ぐことはできない。」としていますが、最初の図に示されたトランザクション署名のプロトコルが間違っています。

2014-09-18 21:24:01
Naoki Asakawa / 浅川直輝 @nasakawa

@HiromitsuTakagi そこは「確認コード」の名称であっても、ウイルスが表示を書き換えられて「この取引コード(実際は不正口座番号)をトークンに入力し、表示された確認コードを書き入れてください」と言われれば、やはり騙されそうです。(続)

2014-09-20 11:29:59
Naoki Asakawa / 浅川直輝 @nasakawa

@HiromitsuTakagi 既にトークンを配布済みの銀行であれば、トークンに貼り付ける注意書きシール(「送金先口座番号を入れ、表示されたコードを入力して下さい。その他の数字は入れないでください」など)を新たに配布した方が現実解かなと思います。

2014-09-20 11:30:38
Hiromitsu Takagi @HiromitsuTakagi

どの用語でも同じだと決めつけるのではなく、どのような用語にすれば利用者が理解できるかを考えるべきです。それをしないで「パスワード」の語を用いるのは、悪手と言うべきです。 @nasakawa

2014-09-20 11:38:43
Hiromitsu Takagi @HiromitsuTakagi

利用手順は当然に既にどこかに説明されているでしょう。でなければ使えませんので。しかし、仕組みを知らせないまま単に「その他の数字は入れないでください」と注意したところで、これまでの乱数表全部入力と同様に、同じ穴の二の舞になるだけでしょう。 @nasakawa

2014-09-20 11:40:50
Hiromitsu Takagi @HiromitsuTakagi

今ググってこのブログを発見。関係者がどう認識しているか窺い知れて興味深い。 銀行員だから知っている「セキュリティ対策」 fuseisoukintaisaku.blogspot.jp

2014-09-20 11:56:02