2015年4月28日火曜日

みずほ銀行のトランザクション認証を試してみた

既に報道されているように、インターネットバンキングに対する不正送金事件が多発しています。
警察庁は2015年2月12日、2014年(平成26年)の1年間に発生した、インターネットバンキングでの不正送金事件の被害状況などに関するデータを発表した。

 不正送金事件の発生件数は1876件となり、前年の1315件から500件以上増加。被害額については約29億1000万円となり、前年の14億600万円から2倍超の増加となった。
2014年のネットバンキング不正送金は約29億円で法人被害が激増、警察庁発表 より引用
このような状況を受けて、フィッシング対策協議会では、インターネットバンキングの不正送金にあわないためのガイドラインとして以下の「鉄則」を公開しています。
  • 第一の鉄則:乱数表等(第二認証情報)の入力は慎重に!
  • 第二の鉄則:インターネット利用機器を最新の状態に保とう!
これらは確かに重要な施策ですが、現在多発していると言われるwebinject攻撃や、近い将来日本でも悪用されると予想されるMITB(Man in the Browser)攻撃に対しては十分とは言いにくいと考えます。

webinject攻撃や、MITB攻撃については以下を参照ください。
簡単に整理すると、これらはどちらもマルウェアがブラウザを操作するタイプの攻撃ですが、webinjectはログイン時等にニセの画面を表示して、乱数表の内容やワンタイムパスワード(OTP)を入力させるもの、MITBは利用者が振込操作をする際に、振込先や金額をマルウェアが変更するものです。

webinject攻撃は、利用者にOTPを入力するように促すため、利用者がサイトにログインする度に被害の可能性がある一方で、「このタイミングでOTPを入力するのはおかしい」と、利用者が気づく機会があります。一方MITBは利用者がOTPを入力するのをマルウェアがじっと待っています。このため、利用者が振込操作等をしない限り被害にあうことはありませんが、その代わり、利用者が不正送金に気づくことは不可能ということになります。

このような状況を受けて、みずほ銀行は、3月下旬より、トランザクション認証の提供を開始しました。
「トランザクション認証」機能とは、強固なセキュリティ対策の一つで、「登録先以外へのお振込」時に使用します。
「登録先以外へのお振込」時、お手元のワンタイムパスワードカードにお振込先の口座番号をご入力いただきワンタイムパスワードを発行します。このワンタイムパスワードとお振込先口座番号を紐づけ、お客さまが指定した振込先であるか確認します。
これにより、近年確認されている、悪意のある第三者がお振込先口座の情報を勝手に書き換え、お客さまが意図しない口座に振り込むという犯罪を、防止することができます。
みずほ銀行:ワンタイムパスワードカード より引用
従来みずほ銀行の口座は持っていなかったので、トランザクション認証を試すために口座開設して試してみましたので報告します。

トランザクション認証を使ってみる

自分のみずほ銀行の口座から、おなじく自分の三井住友銀行の口座に1万円振り込んでみます。まずは通常通り振込先と振込金額を指定すると以下の画面が表示されます。


この状態で、ワンタイムパスワードカードの ③ キーを押すと、以下のように入力が可能なモードに変わります。

ここで、「振込先の」口座番号7桁を入力します。以下の「9876543」は架空の口座番号です。


入力が終わったら右下の「OK」ボタンを押すと、以下のように 8桁のトークンが表示されます。


この 8桁トークンをウェブ画面の「ワンタイムパスワード」欄に入力して、「振込実行」ボタンをクリックしすると、振込が実行されます。
利用者が入力したトークンは、カード上で入力した口座番号にのみ有効なので、仮にMITB攻撃でトークンが窃取されたとしても、(たまたま口座番号が一致しない限り)攻撃者の口座に不正送金されることはありません。
この後、振込先口座を登録することができ、一端登録した口座は、次回からは「信頼された口座」として、トランザクション認証なしに振込が可能になります。この口座登録は、(1)銀行窓口で登録、(2)振込操作の後に登録、の二種類でしかできないので、攻撃者が自分の口座をまず登録するという手口はできないと思われます。

残る脅威

webinject攻撃等で、マルウェアが画面を操作して、利用者にトランザクション認証カードの操作を指示し、「攻撃者の口座番号」をカードに入力するように誘導する攻撃の可能性がある、と高木浩光氏が指摘しています。
高木氏の指摘は、三井住友銀行やゆうちょ銀行のように、「トランザクション認証機能つきカードを配ったが、現在は単純なワンタイムパスワードとして用いていて、将来トランザクション認証方式に変更する」場合の運用を危惧したものですが、みずほ銀行の場合は、最初からトランザクション認証用としてカードを配っているので、被害にあう可能性は相対的に低くなるでしょう。
とはいえ、やはり騙される人はいると予想しますが、カードに同封された説明書には、以下のように注意がありました。素晴らしいですね。


ここまでしても騙される人はいるでしょうが、まずは、みずほ銀行の努力と気配りを賞賛したいと思います。

まとめ・感想

みずほ銀行が「日本で最初に導入」したトランザクション認証を試用してみました。
不正送金の手口はどんどん進歩していて、利用者側の注意だけでは被害を防ぐことは難しい状況になっています。このため、本格的なMITB防止機能としてトランザクション認証機能を提供したみずほ銀行の英断は素晴らしいと思います。
とはいえ、前述したように、それでもダマされる手口は残る可能性はあることと、そもそも操作が難しくて普及が難しそうだと感じました。
元々はトランザクション署名の試験用に口座を開設したみずほ銀行の口座ですが、月に4回までは振込料金が無料ということを知り、本来の銀行口座としても有効活用していこうと思います:)

追記(17:15)

何気なくパスワードカードの裏を見ると下図のようになっていました。


以下の文言が気になりました。
※登録先以外へのお振込み時には振り込み画面上の【手順】に従ってお手続きください。
これはいただけない。振込画面はマルウェアによって改ざんされている可能性があるからこそのトランザクション認証なので、画面通りに操作すると不正送金の被害にあう可能性があります。この文言は以下のようにすべきところです。
※登録先以外へのお振込み時には、カード同梱の説明書の【手順】に従ってお手続きください。
セキュリティって難しいですね。


【HASHコンサルティング広告】
この記事はHASHコンサルティング勤務中に書かれた。
HASHコンサルティング株式会社は、本物のセキュリティエンジニアを募集しています。
興味のある方は、twitterfacebookのメッセージ、あるいは問い合わせページからお問い合わせください。

0 件のコメント:

コメントを投稿

フォロワー

ブログ アーカイブ