編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら
しのびよるネットバンキング被害

金融機関が検討すべきセキュリティ対策とは--トークン化を利用される(前編) - (page 4)

相原敬雄

2015-04-28 07:00

 なぜ、上記のような攻撃が成功するのかについて考えてみると、その原因は、ユーザーが銀行になりすました攻撃者の指示通りに操作してしまったということである。ソーシャルエンジニアリング攻撃は、巧みに利用者をだまし、攻撃者の意図通りの操作を行わせるという攻撃である。日本国内では振り込め詐欺が横行していることを考えると、上記のような単純な攻撃はさらに高度化した場合防ぐことが困難になる可能性がある。

 なぜ、ユーザーはだまされてしまったのか。その理由は、ユーザーが行う操作が「送金処理(トランザクション署名)」であったにも関わらず、実際は「トークンのリセット」操作であると見分けることができないことである。

 ソーシャルエンジニアリング攻撃の対象になるトークンは、操作を簡素化するため、操作とユーザーインタフェースが単純になっている。つまり、ユーザーに対して現在行っている「操作の内容の意味」に対するフィードバックが乏しい。従って、ユーザーはだまされていることに気づかず攻撃が成功してしまう。このような攻撃は、毎回同じ操作をユーザーに求めた場合にも悪用できるので、金融機関側はトランザクション署名の操作をどのような取引処理に求めるか、そしてその操作がルーチン化しないように工夫する必要がある。

 後編ではこうしたトークンのユーザーインターフェース突き、ユーザーの誤操作を狙う、ソーシャルエンジニアリング攻撃に対して有効な対策について解説する。

相原敬雄(あいはら たかお)ジェムアルト株式会社 セキュリティ 部長
セールスディレクターとしてインターネットバンキング関連の製品やサービスを統括。現職以前は、法人向けのセキュリティ製品を担当し、法人向けセキュリティソ リューションのビジネス発展に貢献する。電子認証ソリューション大手企業の日本支社の立ち上げに従事した経験を持ち、大手金融機関やオンラインゲーム会社をはじめとする法人向けのワンタイムパスワードトークンなど、二要素認証製品の普及を推進。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]