なぜ、上記のような攻撃が成功するのかについて考えてみると、その原因は、ユーザーが銀行になりすました攻撃者の指示通りに操作してしまったということである。ソーシャルエンジニアリング攻撃は、巧みに利用者をだまし、攻撃者の意図通りの操作を行わせるという攻撃である。日本国内では振り込め詐欺が横行していることを考えると、上記のような単純な攻撃はさらに高度化した場合防ぐことが困難になる可能性がある。
なぜ、ユーザーはだまされてしまったのか。その理由は、ユーザーが行う操作が「送金処理(トランザクション署名)」であったにも関わらず、実際は「トークンのリセット」操作であると見分けることができないことである。
ソーシャルエンジニアリング攻撃の対象になるトークンは、操作を簡素化するため、操作とユーザーインタフェースが単純になっている。つまり、ユーザーに対して現在行っている「操作の内容の意味」に対するフィードバックが乏しい。従って、ユーザーはだまされていることに気づかず攻撃が成功してしまう。このような攻撃は、毎回同じ操作をユーザーに求めた場合にも悪用できるので、金融機関側はトランザクション署名の操作をどのような取引処理に求めるか、そしてその操作がルーチン化しないように工夫する必要がある。
後編ではこうしたトークンのユーザーインターフェース突き、ユーザーの誤操作を狙う、ソーシャルエンジニアリング攻撃に対して有効な対策について解説する。
- 相原敬雄(あいはら たかお)ジェムアルト株式会社 セキュリティ 部長
- セールスディレクターとしてインターネットバンキング関連の製品やサービスを統括。現職以前は、法人向けのセキュリティ製品を担当し、法人向けセキュリティソ リューションのビジネス発展に貢献する。電子認証ソリューション大手企業の日本支社の立ち上げに従事した経験を持ち、大手金融機関やオンラインゲーム会社をはじめとする法人向けのワンタイムパスワードトークンなど、二要素認証製品の普及を推進。