パスワードを忘れた? アカウント作成
11709706 story
セキュリティ

セコム、USBメモリからブートして使うネットバンキング専用OSを発表 35

ストーリー by hylom
専用VPN回線を使うあたりがキモか 部門より
あるAnonymous Coward 曰く、

セコムがネットバンキングに特化したセキュリティサービス「セコム プレミアムネット」の個人向け提供開始を発表した(INTERNET Watch)。価格は初期費用1000円+月額500円(ともに税別)。

専用のOSやWebブラウザ、電子証明書を搭載した書き込み不可のUSBメモリをPCに接続し、そこからOSをブートして利用する。これにより、PCにマルウェアなどがインストールされている場合でも安全にネットバンキングを利用できるという。さらに、この環境ではセコムのデータセンター経由で金融機関のサーバーに接続し、セコム側が用意したホワイトリストに含まれるサーバーにしか接続できない。これにより、フィッシングなどの攻撃から守るという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  •  書き込み不可のUSBメモリを使用しているとのことですので、バグ・脆弱性が発見された場合や、サーバ(セコムの仮想専用ネットワーク)側のシステム変更への対応などで必要となった場合に、新しいUSBメモリが郵送されることが想定されます。

     従って、偽の「セコムの専用USB」を送り付けるというソーシャルエンジニアリングに弱いのではないでしょうか? 契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。

     偽の「セコムの専用USB」には、Firefox ブラウザ [secom.co.jp]などのソフトウェア部分を書き換えたイメージを入れておれば MITB(Man-In-The-Browser Attack)攻撃 [nikkeibp.co.jp] も可能です。これにより、正規の振込時に振込先・金額をリアルタイムで書き換えることが可能ですので、ワンタイムパスワード(トークン)を採用している金融機関から不正振込させることも可能です。

     日本の金融機関のインターネットバンキングはセキュリティ対策で遅れをとっており、海外の金融機関では対応しているのが常識の MITB攻撃を100%防げるトランザクション署名 [ftsafe.co.jp] に対応している国内金融機関は1行もありませんから、攻撃は容易と言えます。

     (金融機関のサーバに対してEnd-To-End方式のSSL通信を行っているのではなく、セコムのサーバがSSLのセッションを金融機関に張る仕組みであったとしても、「偽USB」ならばその部分も書き換えることが可能であることから、攻撃は防げません)

     「セコム プレミアムネット」の契約者は、預金額が高額であることが推定されますので、契約者を狙う上記の手口は、最近流行している振り込め詐欺(既に振込じゃないですが)の手口である、「バイク便業者や直接代理人を自宅に向かわせ、現金を手渡しさせたり、定形小包郵便物(通称「エクスパック500」)による送付等の受け渡し方法を指定してくる場合」(引用元 [tokyo.jp])よりも、詐欺師にとって、ローリスク・ハイリターンであると思います。

    • by Anonymous Coward

       契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。

      それで、電子証明書の偽造は簡単なのですか?

      • それで、電子証明書の偽造は簡単なのですか?

        使用可能な電子証明書を「偽造」することは、採用している規格に脆弱性が無い限り不可能です。電子証明書は、セコムのサーバにVPN接続する際に用いる為のものだと思われます。簡単に言うと、

        【クライアントPC】 ⇔ (VPN接続 : ここで電子証明書を使う) ⇔ 【セコムのサーバ】 ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】

        といった感じです。

        もし仮に、「セコムの専用USB」に記録されている電子証明書の内容が全顧客共通であれば、複製は容易です(全顧客同一ROMの方がコストを安くできます)。

        顧客ごとに違う電子証明書であるとするならば、犯罪者は、セコムのサーバにVPN接続しないようにプログラムを書き換えて、

        【改ざん済み Firefox】 (MITB付き) ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】

        とする必要があります。この場合も、ソーシャルエンジニアリングは成立します。

        セコム プレミアムネット®(個人) [secom.co.jp]によれば、

        簡単操作
        お手持ちのパソコンに専用USBを接続し、パソコンの電源を入れるだけ。あとは今までどおりの操作でネットバンキングを利用できます。

        と、セコムサーバにIDとパスワードを入れてログインする方式ではなさそうですので、VPN経由で無いことはばれにくいのではないでしょうか?

        親コメント
      • by Anonymous Coward

        電子証明書を使って、本物のサーバーに接続する必要とかあるんですか?

        • by Anonymous Coward

          法人系の銀行はそういう仕様ところが多い

    • by Anonymous Coward
      よし、偽USBメモリを作って、電車の網棚に置いておこう。
  • タレコミやINTERNET Watch の記事 [impress.co.jp]には、

    専用のOSやWebブラウザ、電子証明書を搭載した書き込み不可のUSBメモリをPCに接続し、そこからOSをブートして利用する。

    とありますが、これって本当ですか? 公式ページの説明 [secom.co.jp]や規約 [secom.co.jp]には、「書き込み不可のUSBメモリ」であるという記述はありません。

    規約 [secom.co.jp]によると、

    【サービスご提供条件】

    (用語の定義)
    第2条
     本ご利用規定およびサービス内容における用語とその意味を以下のとおり定義します。
     (1)USBシンクライアントデバイス
     セキュアなOS、VPN通信クライアントおよび専用ブラウザを搭載した、セコムが提供するUSBデバイスです。

    【サービス内容】

    7.サービス内容の詳細

    (3)データファイルの保存場所の提供
    (前略)
    USBシンクライアントデバイス用のクライアント証明書は予めインストールされています。また、USBシンクライアントデバイスには一時フォルダがあり、セコムクラウド内に用意したデータ保存場所とファイルを自動同期することができます。

    (4)デバイス内ファイルの更新
    セコムが提供したUSBシンクライアントデバイスにあらかじめ搭載したUSBシンクライアントデバイス用クライアント証明書は、有効期限の切れる前に、セコムクラウドから自動的に新しい証明書を取得して更新します
    また、セコムが提供したUSBシンクライアントデバイスにあらかじめ搭載した専用ブラウザ等ソフトウェアは、必要に応じて、セコムクラウドから自動的に新しいバージョンのソフトウェアを取得して更新します。

    (5)クライアント認証用電子証明書の管理機能の提供
    お客様がアクセスする専用ポータルサイトに掲載された金融機関サイトによっては、電子証明書によるログイン認証を必要とする場合があるため、USBシンクライアントデバイス上の専用ブラウザに対して、クライアント認証用の電子証明書を追加インストールできる機能を提供します。また、追加した電子証明書の照会、削除を行うことができます。
    (後略)

    とあり、どうやらUSBメモリの内容を随時書き換える方式のシステムである風に読めます。

    決定的なのは「デバイス内ファイルの更新」の部分で、「デバイス」は第2条(用語の定義)(1)の「USBシンクライアントデバイス」だとしか考えられません。

    書き換え可能なUSBメモリだということは、ウイルスに感染しているパソコン(Windows などのOSが起動している状態)に接続したら危険 ではないでしょうか?

    それとも、セコムのデジタル署名を検証しない限り書き換えできないといった極めて高度なUSBメモリになっている? 私の推測では、なっていないような気がします……。

  • 考えられること (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2014年11月13日 14時51分 (#2710498)

    ・USBブートの方法がわからず、起動させられない。
    ・起動したのはいいものの、画面が壊れてよくわからない。
    ・起動したのはいいものの、入力できない。
    ・仮想マシンでブートする奴
    ・コピーして改造しだす奴
    ・改造したのをばらまく奴
    ・GPL分の開示を要求する奴

    • by kineko (38165) on 2014年11月15日 22時36分 (#2711776) 日記

      プレイステーション~に繋いでも起動しない
      TVのUSB端子に指しても起動しない

      親コメント
    • by Anonymous Coward

      > ・USBブートの方法がわからず、起動させられない。

      問い合わせの電話が殺到しすぎて繋がらないという未来が・・・・

    • by Anonymous Coward
      ・USBを逆に刺して壊しちゃう。
      ・インターネット契約してなくてもつながると思っていた。
      ・使い方がわからないので銀行に聞きに行ったら普通に窓口で手続きすればいいと気がつくのを繰り返し使わず仕舞い。

      Intel Macでも立ち上がるんかね?
      あとBluetoothドライバとか…。
      無線ネットワークドライバとか…。
      (ネットワークドライバ入ってるらしいけど無線分も入ってるんかな)
  • by Anonymous Coward on 2014年11月13日 14時00分 (#2710463)

    月500円で、「うち、セコムしてるから」と言えるのか
    ところであのステッカーは貰えるんでしょうか?

  • by Anonymous Coward on 2014年11月13日 14時22分 (#2710479)

    できてるんでしょうね。

    よくわからんので、AC

  • by Anonymous Coward on 2014年11月13日 14時40分 (#2710489)

    こういうニュースを聞くと、そこまでしてインターネット使いたいのか?と思ってしまう
    まあ、重要なインフラであることは確かだが何が何でもインターネット接続すれば良いというものではない

    前にも書いたがうちは中小企業なので面倒な手間はかけたくない(少々コストがかかるのはまだ許せる)
    というわけで固定電話回線(アナログモデムでダイアルアップ接続)を使った法人向けのオンライン(?)バンクサービスを利用してる
    全銀協に加盟してる銀行だったらどこでも同様のサービスを提供してるはず(電話の接続先は全銀協かどこかの共用のデータセンターのはず)

    • by Anonymous Coward
      それで安全と言い切れるのか?
      という観点から言えば五十歩百歩ですよ。
    • by Anonymous Coward

      一応つっこんでおくと、これ「個人向け」です。

  • by Anonymous Coward on 2014年11月13日 15時01分 (#2710505)

    > USBメモリに内蔵されていないドライバーについては、複数のドライバーを収めた補助CDを提供する

    結局何処でもやるにはUSBとCD持ち歩かないといけない系?

    • by Anonymous Coward

      CDに入るレベルなら、USBメモリに追加出来なかったのか…

  • by Anonymous Coward on 2014年11月13日 15時25分 (#2710519)

    ないですよね。セキュリティの会社ですもんね。

    • by Anonymous Coward

      ※3 UEFI SecureBootモードには対応しておりません。従来のBIOSモードでご利用ください。

      • by Anonymous Coward

        ポカーン

        Windows8以降がプリインストールされたPCってUEFI+SecureBootが普通っぽいんだけど
        毎回使う度にLegacyブートに切り替えて終わったらUEFIブートに戻せと・・・

        • by Anonymous Coward on 2014年11月13日 20時19分 (#2710779)

          ベースとなるOSに何使ってるか知りませんけど、
          Linux の各ディストリビューションの UEFI+SecureBoot 対応状況もひどいもんですよ。
          Fedora くらいですか、まともに使えるの。
          もう、仮想マシンにインストールするのとサーバー向けを除くと、
          絶滅するんじゃないかって感じ。
          さすがだぜ、Microsoft

          親コメント
  • by Anonymous Coward on 2014年11月14日 2時24分 (#2710970)

    顔を知ってる担当者が直接伺う費用ぐらい出るだろう.
    となれば,その担当者が直接,新しい USB を渡したり,設定したり,使い方を教えるようにすれば細かい問題は大体解決できるんじゃないかな.

    • by Anonymous Coward

      そのレベルだったらUSBドングルなんてことせずに専用セットアップしたノートPCを貸与するか購入させればいいじゃん…

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...