トークンではフィッシング詐欺を防げない?(1/2 ページ)
一部の銀行はパスワードとトークンを組み合わせた二要素認証の採用に乗り出しているが、セキュリティ専門家ブルース・シュナイアー氏は、そうしたやり方は一部の攻撃にしか効かないと指摘する。(IDG)
電子商取引の利用者を守るのはテクノロジーではない。政府の規制強化こそが、オンライン銀行やショッピングサイトの注意を喚起し、セキュリティに無頓着な姿勢をやめさせるのだ――Counterpane Internet Securityの創設者兼CTO(最高技術責任者)、ブルース・シュナイアー氏はこう語る。
シュナイアー氏の見方は、「セキュリティの欠如が、窃盗犯による顧客のアカウント乗っ取りを許している」とする連邦預金保険会社(FDIC)の最近の報告書の逆を行っている。FDICは銀行に対し、既存のパスワードベースのユーザー認証システムを、二要素認証にアップグレードするよう促している。二要素認証とは、一意のパスワードと、顧客がオンラインアカウントにアクセスする際に提示するセキュアなカードあるいはトークンを組み合わせたもの。シュナイアー氏は、「Communications of the ACM(Association for Computing Machinery)」の記事の中で自身の見解を述べ、電子メールによるインタビューでもその意見を語った。
―― この数週間に起きたChoicePoint、Paymaxx、Reed Elsevier傘下のLexisNexis、DSWの大規模なセキュリティ侵害から学ぶ教訓はありますか? 攻撃のベクトルはどれも違いますが、共通の教訓はあるでしょうか?
シュナイアー氏 問題は、われわれのデータの大半に関するセキュリティが、もはやわれわれの管理の手の及ばないところにあるという点です。これは新しい問題です。十数年前は、誰かの手紙を見たいと思ったら、その人の家に侵入しなくてはなりませんでした。今はISPに侵入すればいいのです。10年前には、ボイスメールは家の留守番電話に入っていましたが、今は電話会社の所有するコンピュータ内にあります。金融口座はパスワードだけで保護されたWebサイト上にあます。自分のクレジット履歴は、存在すら知らない会社が保管し、販売しているのです。購入した書籍、閲覧した書籍の一覧はオンライン書店のコンピュータに格納されています。アフィニティーカードによって、スーパーマーケットは買い物客の好きな食べ物を把握できます。かつては自分で直接管理していたデータが、今は他人の手で管理されているのです。
―― 中間者攻撃やトロイの木馬のように進化する攻撃によって、二要素認証は時代遅れになってしまう、というのがあなたの記事の大筋の主張です。ですが、大多数のオンライン犯罪と個人情報窃盗においては、長期的にも短期的にも、第2の認証要素によって窃盗犯が犯行をやりにくくなるのでは?
シュナイアー氏 いいえ。第2の要素には、攻撃者に戦術を変えさせる効果しかありません。二要素認証は、攻撃者がアクセスの手段を盗んで、後からそれを使う手口にのみ有効なのです。今われわれが目にしている詐欺のトレンドは、アクティブで即時的です。攻撃者は偽のWebサイトを立ち上げて中間者として行動し、ユーザーにアクセスコードの入力を促し、それを使ってすぐに金融サイトにログインします。あるいは、攻撃者はトロイの木馬をユーザーのコンピュータに仕込み、ユーザーが合法的なセッションを行っている間に、金融サイトとの取引をひそかに傍受します。いずれの場合も、二要素認証は少しも効果がありません。
―― 先週には、LexisNexisが所有していたデータベースへの不正アクセスにより、ユーザーIDとパスワードによる認証システムの欠点が示されました。トークンを併用していたら、LexisNexisの3万2000人分の個人情報がハッカーの手に落ちることは防げたでしょうか?
シュナイアー氏 第2の認証要素は、一部の詐欺の手口が使えなくなることを意味します。ChoicePointの場合は、攻撃者が正規の企業を装って、ChoicePointシステムのアカウントを入手しました。二要素認証を使っていたとしても、犯人はその認証システムの利用者です。Bank of Americaは160万人分の個人情報を格納したバックアップテープを紛失しました。このケースでは、二要素認証を使っていても役に立たなかったでしょう。LexisNexisのハッキングがどのように起きたかは分かりませんが、二要素認証があれば防止できた可能性は確かにあります。
―― エンドユーザーのプラットフォームが安全だと確信できないため、多要素認証は有効になり得ないというのなら、オンライン取引は決して安全になり得ないということになるのでは? あらゆるWindowsシステムにトロイの木馬やrootkitがインストールされている可能性があるのですから。ではなぜインターネットに接続されたWindowsシステム――ついでに言うとUNIX・Linuxシステム――を電子商取引に使うのでしょうか?
Copyright(C) IDG Japan, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。