トランザクション署名はワンタイムパスワードの計算に行う取引の内容(例えば振込先口座番号、金額など)を入れて計算する電子署名の技術である。銀行側ではユーザーの取引の内容から計算し、値が合っていればトランザクションの内容が改ざんされていないということが検証できる。
もしも値が一致していない場合、どこかでトランザクションの内容が改ざんされている可能性があるため、その取引を一旦中断し、ユーザーに対してマルウェア感染の可能性について連絡を取るなどの処置が可能だ。
上記の対策により、中間者攻撃は技術的には完全に防げるが、ユーザーをだまして偽のトランザクションに署名させてしまう“ソーシャルエンジニアリング”(人間の心理的な隙、誤りにつけ込み、情報を入手する手法)も発生している。
日本よりサイバー攻撃対策が進んでいる欧州では、攻撃のレベルもより高度になる。2013年12月、欧州の主要銀行で2週間の間に200万ユーロもの不正振り込みが発生するという事件が起こった。これらの銀行はICカードおよび電子証明書(PKI)による認証とトランザクション署名(デジタル署名)を実施しており、セキュリティに対する意識は非常に高い。
だが、ここでもユーザーがボトルネックになった。法人口座をもつユーザー企業に対する標的型攻撃により、これらの企業がトロイの木馬型である「Win32/Spy.Hesperbot」というマルウェアに感染、PCを乗っ取られ、ICカードの暗証番号を盗まれてしまったのだ。ICカードの番号は正規のものなので、銀行側は正規ユーザーと攻撃者の見分けがつかない。こうして大量のユーザーの暗証番号が盗まれ、被害額が大きく膨れることになった。
毎日誕生する悪質なマルウェアとそれを悪用する攻撃者からインターネットバンキングを守るにはどんな手段があるのか。次回は上記のようなPKIに対するアタック、およびソーシャルエンジニアリングに対しても有効なセキュリティ対策について、解説したい。
- 相原敬雄(あいはら たかお)ジェムアルト株式会社 セキュリティ 部長
- セールスディレクターとしてインターネットバンキング関連の製品やサービスを統括。現職以前は、法人向けのセキュリティ製品を担当し、法人向けセキュリティソ リューションのビジネス発展に貢献する。電子認証ソリューション大手企業の日本支社の立ち上げに従事した経験を持ち、大手金融機関やオンラインゲーム会社をはじめとする法人向けのワンタイムパスワードトークンなど、二要素認証製品の普及を推進。
