三井住友銀行のネットバンキングを狙った攻撃、ワンタイムパスワード利用者も被害に 52
ストーリー by hylom
より巧妙に 部門より
より巧妙に 部門より
最近ネットバンキングを狙った攻撃が増えており、銀行各社もこれに対抗すべくさまざまな手段を講じている。その1つにパスワード生成機を使ったワンタイムパスワードがあるのだが、三井住友銀行のネットバンキングにて、このワンタイムパスワードを使っていたにも関わらず被害を受けた例が確認された模様(NHK、朝日新聞、三井住友銀行の注意喚起)。
被害を受けた事案では、パソコン側にマルウェアが仕込まれており、それによって正規の銀行サイトから偽サイトに誘導されるという。そこでパスワードを利用者に打ち込ませ、その情報を使って即座に正規サイトでの不正送金を行うという手口だったようだ。
同様の手口を使った攻撃はほかの銀行でも見られるという。このようなマルウェアを使った攻撃の場合、ログイン後や操作の途中でパスワードなどの入力を求められることが多いようで、「銀行側ではウイルス対策を徹底するとともにパスワードの入力は最後に取引内容を確認するときにしか求められないため、画面を開いてすぐに入力しないよう注意を呼びかけています」という。
PCにマルウェア入っていたらどうしようもない (スコア:2)
結局最後はユーザが画面通して送金先と金額をはじめとする確認するわけで、
画面が改竄できる以上抜本的な対策は難しそう。
トークンに送金先と金額入れてOTP生成するか?
Re:PCにマルウェア入っていたらどうしようもない (スコア:1)
その意味だとスマフォ側に確認をpushする系(WebにはQRでのチャレンジが表示され、それを専用アプリかつ通知の延長で認証して始めて成功とか)がいいのかもしれませんねぇ...
# 番号マトリクスは全取得や、たとえ一部でも複数回の試行で抜けられそうで、微妙に苦手
M-FalconSky (暑いか寒い)
Re: (スコア:0)
住信SBIネット銀行がスマート認証 [netbk.co.jp]という2経路認証サービスを提供しています。
最初にスマートフォンの設定を行う時点でPCが汚染されていた場合は駄目ですが。
安全な環境で設定されたスマート認証は、あとからPCとスマホの両方に侵入を許さない限りはセキュリティを保てそうです。
Re:PCにマルウェア入っていたらどうしようもない (スコア:2)
スマートデバイスで送金するなら、
API的にここまで凝ったマルウェア作れないぶん現状安全かも知れません。
root取られない限りは。
Re: (スコア:0)
この話、NHKでも特集してたな。
出演した「専門家」の意見も「スマホの方が安全」だった。
「対策ソフトは後追いである」と、はっきり言っていたな。
次善策は必要だけど、そもそもマルウェアがまずいのであって、その対策は?と思って聞いていた。
覚えている限りでは、OS含めたソフトの最新化と、可能ならネットバンキング専用PCの用意、かな。
意識付けについては曖昧だった感じ。
女性司会の一人が使う古いAndroid端末も危険だと言っていた。
「スマホが安全」「古いスマホは危険」を分けて伝えると、誤解する視聴者もいそう。
Re:PCにマルウェア入っていたらどうしようもない (スコア:1)
>「スマホが安全」「古いスマホは危険」を分けて伝えると、誤解する視聴者もいそう。
これこわいよ、何が危険かその根拠も認識できない人に「こうすれば大丈夫だから」と盲信させるのって詐欺のお手本みたいだ。
>「銀行側ではウイルス対策を徹底するとともにパスワードの入力は最後に取引内容を確認するときにしか求められないため、画面を開いてすぐに入力しないよう注意を呼びかけています」という。
これってもう「注意しろ」としか言えない銀行側からのネットバンクはもう安全じゃないよと言う敗北宣言じゃないんすかね。
重点的に狙われている三井住友銀行を使い続けないといけない理由ってなんだろう。
もしかして、今ならマルウェア仕込まれてネットバンク詐欺にあったと申告してそれが通れば補填される美味しい状態なのかな。
#Mt.GOX以来ついこんな邪推をしてしまう。
Re: (スコア:0)
給料の振込みから光熱費の引き落としやクレジットとか実生活を送る上でそうそう銀行なんか変えられないと思うんだけど。
しかも変えた先の銀行は絶対安全なんて事もないんだし。
疑問に思うなら三井住友銀行を使い続けないといけない理由じゃなくてネットバンクを使う理由じゃない?
Re: (スコア:0)
>重点的に狙われている三井住友銀行を使い続けないといけない理由ってなんだろう。
別に三井住友だけじゃないよ。
UFJだってあの調子だし、みずほだって大差ない。
Re:PCにマルウェア入っていたらどうしようもない (スコア:1)
なるほど、同じように被害が出てるんだけど公にしてないだけすか。
ネットバンクを使わなければいけない人たちってどうすんだろ。
Re: (スコア:0)
> トークンに送金先と金額入れてOTP生成するか?
なんかbitcoinぽいかなとか
どう誘導したいのか (スコア:2)
・セキュリティの確保は大事ですよ
・ネットバンキングは危険ですよ
他にもあるだろうけど、どういうのを期待しているのだろう。
Re:どう誘導したいのか (スコア:1)
>・セキュリティの確保は大事ですよ
>・ネットバンキングは危険ですよ
こうくると普通は
・安全性が確保されるまでは使うな。
となるはずだけど、銀行は「(危険だけど)注意して使ってね」と言ってるように見える。
Re:どう誘導したいのか (スコア:1)
一番狙われるとこなので、せめて銀行側で
送金先が審査済でないと送金できないくらいにならないと、とても手を出せません。
どう誘導されたいのか (スコア:0)
単体の話題として成立してるようにみえるけど、どういうのを期待しているのだろう。
Re: (スコア:0)
銀行がマルウェア除去ソフト作らせて配布してセキュリティ業者ウハウハの方向では?
ログイン時のワンタイムパスワード入力 (スコア:1)
>パスワードの入力は最後に取引内容を確認するときにしか求められないため、
>画面を開いてすぐに入力しないよう注意を呼びかけています
旧タイプのワンタイムパスワードではログイン時にワンタイムパスワードの入力をさせてたんですが
そちらのシステムは改修されたんですかね?
旧タイプに慣れてた人だと新システムでも疑問を持たずにログイン時に入力しちゃいそうですよね。
ネットバンキング利用審査 (スコア:1)
ワンタイムパスワードを使ってるから....
という、間違った安心感が逆にPCの管理をおろそかにさせてしまっているような気がします。
ネットバンキングを使うためには、ネットやセキュリティに対する知識を確認する審査をやるぐらいでちょうどいいんじゃないかなぁ。
トランザクション署名 (スコア:1)
この事件について報じた
三井住友銀行の不正送金は「MITB攻撃」、ワンタイムパスワード利用者も被害に:ITpro [nikkeibp.co.jp]
で
「同行のカード型トークンには、ワンタイムパスワードの生成を工夫することでMITB攻撃などの中間者攻撃を防ぐ拡張機能もあるが、」とあって気になっていたら
それは「トランザクション署名」のことであるとTwitterでご教示 [twitter.com]頂きました。
参考:
産総研高木氏の提案、試作機によるデモも:本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を - @IT [atmarkit.co.jp]
ワンタイムがワンタイムじゃない? (スコア:0)
期限付きパスワードということなの?
Re:ワンタイムがワンタイムじゃない? (スコア:2, 参考になる)
偽のサイトでワンタイムパスワードを入力させて
すぐにそれを使って認証を行い不正送金を行っているのではないかと
なのでこの場合ワンタイムでも意味が無い
Re:ワンタイムがワンタイムじゃない? (スコア:1)
銀行サイト側がログイン直後にOTPを送付された場合に
処理を拒否すればよさそうですね。
30秒、あるいはトークン側の時計のずれを考慮しても
数分たてばOTPは利用できなくなるわけで、
ログインから送金までに数分かかるようにデザインすれば
盗んだOTPでの送金はだいぶ難しくなるかと。
あでも送金時に1回偽のエラーを表示して再度OTP取得されたらだめか・・・。
うーん。
OTPは銀行サイト側がユーザを認証する手段でしかないので
ユーザ側が銀行サイトを認証できる安全な手段がないと
MITB状態ではなすすべがないですね。
決済専用端末しかないのか・・・
Re: (スコア:0)
完全に専用端末でもないと無理な気がする。
USBとかに刺してネットでその端末と認証を行い、認証とかは内部で勝手にやってくれる。
対象が偽サイトならその認証自体が成功しない(その端末のシステムを解析して全く同じ物を作らない限り)から
この場合なら偽サイトに使っても「あれ?成功しねえぞ?」で終わる。
Re: (スコア:0)
http://itpro.nikkeibp.co.jp/article/COLUMN/20130708/489843/ [nikkeibp.co.jp]
Man in the Browser攻撃と言うそうです。
中間者攻撃ですよねぇ (スコア:0)
それよりも、なんで三井住友銀行はワンタイムパスワードをRSA securityのからVascoに変えたんでしょうねぇ?
テンキーついているから、画面のチャレンジコードを入力して、結果を入れるのかと思ったらそうじゃないし。
Re:中間者攻撃ですよねぇ (スコア:4, 興味深い)
私のいる組織でも SecurID から Vasco に変わったんですけど、はっきり「安いから。」という説明がありました。
Re:中間者攻撃ですよねぇ (スコア:2)
確かに、チャレンジコード入れられれば、防げた話ですね。
送金先が違えばチャレンジコードが合わない筈なので。
Re:中間者攻撃ですよねぇ (スコア:1)
ただの文字列として受け取って、これも本物と同じような見た目の結果画面を出せばいいだけ。
あとはユーザが気づく前にコトを行えばOK。
Re:中間者攻撃ですよねぇ (スコア:2)
うわ、意味の通らない文章になってました。すみません。
チャレンジコードを送金先+saltみたいな形にすれば、ということが言いたかったです。
送金先12345とsalt678を使ってチャレンジコードを123456とすれば、ユーザが入力するのは123456に対するOTPであって、
攻撃者が送金先54321に送金させようとしても、チャレンジコード54321678に対応するOTPを得ることができない。
Re:中間者攻撃ですよねぇ (スコア:1)
そのチャレンジコードを処理するフローが、
・PC画面にチャレンジコードが表示される
・OTP生成器にチャレンジコードを手入力してパスワード生成
・出来たパスワードをPCに手入力
という流れだとしたら、最初に表示されるチャレンジコードを、「送金先12345に対するチャレンジコードは54321678です」と表示されたらもうダメですね。
ブラウザが乗っ取られたら、ブラウザを通すかぎりはもうどうしようもないので、
スマホなどを使った二段階認証で、
・利用者はPCに送金先・送金額を入力
・銀行側はスマホに送金策・送金額を送出
・利用者はスマホに表示された送金先・送金額を確認してから承認
といった流れにするぐらいが無難なとこじゃないかな。
Re:中間者攻撃ですよねぇ (スコア:1)
そうですね。
MITM攻撃に根本的に有効かつ簡単に導入できそうなのは、
2経路認証+副経路での内容確認くらいだと思います。
Re: (スコア:0)
それ、ユーザが手元にもつレスポンス計算機側にその機能を含んでないと無理では?
中間者が、送金先54321への送金リクエストをまず銀行サイトに送って、銀行サイトが
チャレンジコード54321678を返してきたときに、中間者がユーザに提示する画面に
送金先12345とチャレンジコード54321678を表示し、ユーザがそれを信用すれば
攻撃が成立するわけで。
レスポンス計算機にそこまで機能を作りこむのは、あまり現実的じゃないような。
Re: (スコア:0)
>それよりも、なんで三井住友銀行はワンタイムパスワードをRSA securityのからVascoに変えたんでしょうねぇ?
提供されるバイナリが。げふんげふん。
技術的なレスポンスでまた何かやらかしたんじゃないですかね。
# 危険すぎるのでA.C. さすがに、前も結局フレームになったけど。こっちはさすがにまずい。
どういうこと・ (スコア:0)
待ってから入力しても同じじゃないの?
Re: (スコア:0)
>パスワードの入力は最後に取引内容を確認するときにしか求められないため
画面?ページ? ニホンゴムズカシイネー。
既知のリスク (スコア:0)
そりゃ、ワンタイムパスワードがフィッシングやマルウェアに無力なんてのは分かり切ったことで。
今更何を言っているのか。
もういいよ (スコア:0)
ネットバンキングなんて使わなければいいんだよ。
テレフォンバンキングで良いじゃないか
Re: (スコア:0)
メールで送られてきた偽の電話番号にかけてしまうかもしれない。
Re: (スコア:0)
テレバンサーバーの手前に居るよくわからん振分端末っぽいやつのメンテできる人が希少価値すぎて、体制戻せないんだよ!
# 某ぷりんの人が操作してたけど。何してるのかサッパリわからんかったし。その人以外に触れる人もいなかった。
そういえば今年の春にこんな問題がSCであった気がする (スコア:0)
まあ、もういいか。あんな辺鄙なところへ受験するのも面倒。
ぱしわーど (スコア:0)
ユーザ、パスワードのほかに、送金用のパスワードが必要ですが
もう一つの手として、送金可能なネットワークを限定するもの手です。
自分は自宅のグローバルIPからでしか送金できないようにしております
追伸
Re: (スコア:0)
今回の攻撃的に、ユーザー・パスワードまでも抜かれるので、その時点で攻撃者のIPアドレスを送金可能にすることも可能かと。
書面でしか登録出来ないならいいけど。固定IPアドレスが必須だね。
Re: (スコア:0)
IPv6のメリットになるかもね。
IP固定で金融機関へのアクセス専用に一つ割り当ててしまう。
Re: (スコア:0)
つ 中間者攻撃
IP制限は無意味 (スコア:0)
今回の事例だと、自宅のPCは既にマルウェアに感染済みなので、送金までこいつがやるようになったらIP制限でもアウトです。
# 端末が侵入されてる前提だと、ほとんどの対策は無理な気がする。専用端末に頼るしかないか?
インターネットに接続しない (スコア:0)
基本的にはインターネットに接続しないのが一番安全
うちの会社は銀行のオンラインサービスにダイアルアップの電話回線経由のを利用してる(モデムがまだまだ現役)
電話代はかかるしサービス提供時間帯も日中に限られるがセキュリティ問題であれこれ悩む必要は無い
#個人向けに同様のサービスが提供されればひ使いたい
Re: (スコア:0)
オフィスにあるPBXへの乗っ取りに気を付けようΨ(`∀´)Ψケケケ
Re: (スコア:0)
昔、さくら銀行が専用電話番号経由でのオンラインバンキングやってたと思うけど、
今思えばまさにそういう仕組だったのかなあ。自分で使ってたわけじゃないからよく覚えてない。
#奇しくも三井住友銀行の前身じゃないすか
オンラインバンキング専用Linuxマシン (スコア:0)
仮想化でLinuxデスクトップをインストールして、その中でオンラインバンキングを利用するのがいいかもね。
画面を外からモニターされたり、キーロガーとかだと痛いけど。そこまでやられてたら、もうお手上げか。
Re:オンラインバンキング専用Linuxマシン (スコア:1)
そういうのはWindows RTでいいんじゃない?
RTで拡張保護モード使ってたらまず感染しないと思う。
パスワードの入力は最後に取引内容を確認するときにしか求められない (スコア:0)
そんなオレオレルール知らんがな。
まぁ、マルウェアなんかインストールしちゃう人は
被害にあってろ、ってことだな。