編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら
しのびよるネットバンキング被害

金融機関が検討すべきセキュリティ対策とは--トークン化を利用される(前編) - (page 3)

相原敬雄

2015-04-28 07:00

トランザクション署名に対する攻撃例

 前回の記事で、さらなるセキュリティ強化策として、ワンタイムパスワードの計算に実行する取引の内容(例えば振込先口座番号、金額など)を入れて計算するトランザクション署名を紹介したが、このトランザクション署名をも突破する、巧妙なソーシャルエンジニアリングの攻撃例を説明したい。前述の10キー付きのトークンを例にその手口を解説すると次のようになる。


  1. 攻撃者は、ユーザーがログインした際にそのワンタイムパスワードを利用してユーザーの口座にログインする
  2. 攻撃者はトークンのリセットが必要であるというメッセージをユーザーに表示し、ある特定の番号(または複数の番号)に取引署名を行い、そのワンタイムパスワードの入力を求める
  3. ユーザーはトークンが利用できなくなるのは困ると思い、求められた通りの操作を行い、取引用のワンタイムパスワードを入力してしまう
  4. 攻撃者が入手した2個目のワンタイムパスワードは、攻撃者の口座宛送金情報を元に計算された取引署名のワンタイムパスワード値である為、不正送金が行われてしまう

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]