MITB、MITMと不正送金ー@HiromitsuTakagi　氏のツイートを軸として

Hiromitsu Takagi @HiromitsuTakagi

Man-in-the-Browserによる不正送金被害の報道が大きくなってきているけど、根本的なことをどこも報じないようなあ。 朝日新聞をはじめどこの新聞も取材に来ないし。情報はずっと出ているのに。 atmarkit.co.jp/ait/articles/1…

Hiromitsu Takagi @HiromitsuTakagi

そりゃあ、ウイルス対策ソフト会社に取材してたんじゃ、そういう話しか聞けないわな。 asahi.com/articles/DA3S1…「トレンドマイクロは（１）最新のウイルス対策ソフトを使用（２）ネット閲覧などに使うソフトを最新版に更新する――と対策を呼びかけている。」

Hiromitsu Takagi @HiromitsuTakagi

シンガポールでどうなっているとか知らないままで記事書いてるのかね。 asahi.com/articles/DA3S1… 「サイバー技術を駆使して新しいウイルスを生み出すハッカーと銀行との「いたちごっこ」は続く。」

Hiromitsu Takagi @HiromitsuTakagi

そんなソフトじゃ解決しないのに。全銀協も何が根本的な解決策か知っているはずなのにねえ。 asahi.com/articles/DA3S1… 「全国銀行協会は加盟行に対し、顧客に安全対策ソフトを提供するなど、ワンタイムパスワード以外の安全対策も組み合わせるよう求めている。」

Hiromitsu Takagi @HiromitsuTakagi

どこの専門家？ asahi.com/articles/DA3S1… 「ただ、ネットの閲覧などに使うソフトを最新版に更新すれば感染は防げる。「すべてのソフトの確認が難しいなら、ウイルス対策の最新ソフトを導入するのが近道だ」（セキュリティー専門家）という。」

Hiromitsu Takagi @HiromitsuTakagi

まあ、どこかの一行が、トランザクション署名機能を有効化した時点で、大々的に報道が相次ぐことになるんだろから時間の問題だろうけども。その前に状況を察知してあるべき方向性を報じるのが新聞の役目なんじゃないのー？

Hiromitsu Takagi @HiromitsuTakagi

何度でも言うけど、ウイルス対策ソフト会社の人達は、現状を分析する力しかない。原因の根本を分析したり解決策を提示する力はない。そこに取材してる限り新聞もそこまで止まり。 シンガポール事例を聞いても報じられないのは、なぜそれで解決なのか理解できるまでの説明を受けてないからだろうね。

Hiromitsu Takagi @HiromitsuTakagi

ちなみに、入力型のトランザクション署名方式は、入力する情報が何なのかを利用者が理解していないと、攻撃者に騙されて、攻撃者の口座番号を入力するように促されてしまう被害が続出する危険がある。三井住友銀行、ゆうちょの画面設計はちゃんとできているのか心配。

Hiromitsu Takagi @HiromitsuTakagi

っていうか、Man-in-the-Browserの根本的対策って、情報処理技術者試験でも出題されてたんじゃなかったっけ？

Hiromitsu Takagi @HiromitsuTakagi

「そんなソフトじゃ解決しない」例がこちら。 ffri.jp/products/limos… ffri.jp/assets/images/… 要するに緑の枠が付いたウィンドウは守られているから、緑の枠のあるウィンドウだけ使えという仕組みだけど、ウイルスも同じ枠を付けてくるだけの泥縄。

TAKAGI, Hiromitsu @TakagiHiromitsu

明日の講演資料作成のために新しい情報がないかとググったところ、こちらの連載が見つかったのですが、残念ながら内容がちょっと間違っていますね。 keyman.or.jp/kc/C00041/ 【緊急寄稿】マンインザブラウザ攻撃とトランザクション署名

TAKAGI, Hiromitsu @TakagiHiromitsu

keyman.or.jp/kc/30007296/ 記事は、トランザクション署名を用いる場合でも、「この場合電卓型トークンのみを使用したOCRAでは攻撃を防ぐことはできない。」としていますが、最初の図に示されたトランザクション署名のプロトコルが間違っています。

TAKAGI, Hiromitsu @TakagiHiromitsu

図ではブラウザに表示された値をトークンに入力して計算結果をブラウザに入力すると書かれていますが、正しくは、トークンに入力するのは利用者の頭の中にある送金先の口座番号（の一部等）です。

TAKAGI, Hiromitsu @TakagiHiromitsu

著者の方の会社の製品「SafeNet eToken 3500」でも同様の仕組みのはずですが……。（違いは、頭の中の口座番号を手入力する代わりに、ブラウザに入力済みの口座番号を光通信でトークンに自動転送し、内容が改竄されていないか利用者が目視確認して処理の続行を判断するという点。）

TAKAGI, Hiromitsu @TakagiHiromitsu

jnsa.org/seminar/pki-da… 今年3月のPKI Dayでもその話をされていたようですね。やはりプロトコルが間違っている（16頁）ようです。 12頁に、RFC 6287のOATHのOCRAで「トランザクション署名が定義されている」とあるのですが、事実でしょうか？

Hiromitsu Takagi @HiromitsuTakagi

そうなるよねえ。もっといろいろできちゃうし。 itmedia.co.jp/enterprise/art… 「特定のWebページにある特定の画像ファイルを表示されせないようにする。画像ファイルは…ネットバンキングを安全に利用するために国産セキュリティソフトの使用をユーザーに推奨するものだった。」

Naoki Asakawa / 浅川直輝 @nasakawa

@HiromitsuTakagi 電子版で短くではありますが、こんな記事も掲載させていただきました。 nikkei.com/article/DGXNAS…

Hiromitsu Takagi @HiromitsuTakagi

はい、日経コンピュータ誌は良い記事を書かれていますね。ちょうど先ほど、2014.5.29号の記事を拝見していたところでした。 @nasakawa nikkei.com/article/DGXNAS…

Hiromitsu Takagi @HiromitsuTakagi

せっかくですので何か所か気になったところを。 @nasakawa

Hiromitsu Takagi @HiromitsuTakagi

①法人口座でクライアント認証が使われていたのに被害が出た事案で、「シマンテックの調査によれば（略）電子証明書とその秘密鍵、IDとパスワードが盗み取られ」とのことですが、秘密鍵が取られた事実は確認されているのでしょうかね。MITBによる手口ではないのでしょうかね。@nasakawa

グレン @Light_o_River

@HiromitsuTakagi 住信SBIの「スマート認証」は高木さんの記事にある 「ZTIC」に近く、MITB攻撃を防ぐには有効な方法だと思いますが、高木さんの評価はいかがなものでしょうか？ netbk.co.jp/wpl/NBGate/i90…

Hiromitsu Takagi @HiromitsuTakagi

②「シマンテックは当面の対策として、国内銀行や企業に対し、電子証明書のエクスポート禁止の設定を有効にするようアドバイスしている」とのことで、「当面の」とあるので間違いではないのですが、そこを対策してもMITBに無力であることを（シマンテックは）言うべきかなと。@nasakawa

Naoki Asakawa / 浅川直輝 @nasakawa

@HiromitsuTakagi 私が聞いた限りでは、　証明書と秘密鍵のエクスポートを禁止しておらず、証明書を抜き取られた事例があったとのことでした。それが可能なら、確かにMITBより数段楽です。

Naoki Asakawa / 浅川直輝 @nasakawa

@HiromitsuTakagi そこは仰る通りで、エクスポート禁止措置は、ほぼ追加コスト無しでできる緊急措置の位置付けです。企業がエクスポート禁止措置を徹底させた後は、MITBが台頭する可能性があります。