しのびよるネットバンキング被害

金融機関が検討すべきセキュリティ対策とは--トークン化を利用される(前編) - (page 3)

相原敬雄

2015-04-28 07:00

トランザクション署名に対する攻撃例

 前回の記事で、さらなるセキュリティ強化策として、ワンタイムパスワードの計算に実行する取引の内容(例えば振込先口座番号、金額など)を入れて計算するトランザクション署名を紹介したが、このトランザクション署名をも突破する、巧妙なソーシャルエンジニアリングの攻撃例を説明したい。前述の10キー付きのトークンを例にその手口を解説すると次のようになる。


  1. 攻撃者は、ユーザーがログインした際にそのワンタイムパスワードを利用してユーザーの口座にログインする
  2. 攻撃者はトークンのリセットが必要であるというメッセージをユーザーに表示し、ある特定の番号(または複数の番号)に取引署名を行い、そのワンタイムパスワードの入力を求める
  3. ユーザーはトークンが利用できなくなるのは困ると思い、求められた通りの操作を行い、取引用のワンタイムパスワードを入力してしまう
  4. 攻撃者が入手した2個目のワンタイムパスワードは、攻撃者の口座宛送金情報を元に計算された取引署名のワンタイムパスワード値である為、不正送金が行われてしまう

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  2. セキュリティ

    MDMのよくある“12の悩み”を解決!Apple製品のMDMに「Jamf」を選ぶべき理由を教えます

  3. ビジネスアプリケーション

    生成AIをビジネスにどう活かす?基礎理解から活用事例までを網羅した実践ガイド

  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  5. セキュリティ

    「100人100通りの働き方」を目指すサイボウズが、従業員選択制のもとでMacを導入する真の価値

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]