トークンではフィッシング詐欺を防げない？（2/2 ページ）

[IDG Japan]

シュナイアー氏　完全にセキュアなオンライン取引はあり得ません。それは直接対面での金融取引についても言えることです。セキュリティは黒か白かというものではなく、連続したものなのです。そして完全なセキュリティは目標ではありません。目指すのは、商取引を継続できるだけの十分なリスク管理を行うことです。

　私から見ると、われわれは間違った方向からこの問題にアプローチしています。ユーザーのコンピュータの安全をどう守るか、どのような方法で認証するかが問題ではないのです。問題は不正な取引です。その解決策は、金融機関に不正取引に対する法的責任を負わせることです。クレジットカードを考えてみてください。詐欺がカード保有者の責任である場合、カード会社がわざわざセキュリティを強化することはありませんでした。ですが、詐欺がカード会社の責任である場合はすぐに――カード保有者の負担はわずか50ドルで――多数のセキュリティ対策を実行しました。カード会社は、利用者がクレジットカードをどれだけきちんと財布に保管しているかは心配せず、自社のデータベース内で詐欺を検出することに集中していました。金融機関にオンライン詐欺の責任を負わせるようにすれば、彼らはすぐにリスク管理の方法を考え出すでしょう。

――　ですが、ユーザーにはどのような責任があるのでしょうか？　われわれが皆、電子メールなどの通信を暗号化を使って保護し、HDDのデータを暗号化し、Web閲覧の際に必ずSSLなどの暗号化を利用すれば、トロイの木馬や中間者攻撃への対処になるのでは？

シュナイアー氏　もう一度言いますが、暗号化で防げる攻撃とそうでない攻撃があります。トロイの木馬がユーザーのコンピュータに入っていたら、暗号化しても意味がないのです。トロイの木馬はユーザーが入力したすべてのプレーンテキストを見て、ユーザーがコンピュータに打ち込んだすべてのキー入力の内容にアクセスできるからです。暗号化されたWebセッションは中間者攻撃に対する防御になりますが、それはユーザーがリモートサイトの証明書を確認する場合にのみ有効です。しかし、ユーザーは証明書を確認しませんから、自分が接続している相手が分からないのです。中間者攻撃はSSLの下でうまく機能するのです。

――　最近、U.S. Bancorpやe-Tradeなどの銀行や、America Online（AOL）のようなISPが顧客向けに多要素認証トークンを拡大しています。これらのプログラムは時間の無駄なのでしょうか？　今から5年あるいは10年後も、彼らはまだ同じ問題に苦しんでいるということなのですか？

シュナイアー氏　短期的には、多要素認証は役に立つでしょう。新しい攻撃に対しては意味をなさないでしょうが、パスワードを盗んで、後でそれを使うような攻撃者は、ほかの標的へと狙いを切り替えるでしょう。しかし、二要素認証を導入する金融機関が増えれば、これを早期に導入した銀行のメリットは少なくなります。結局は、この認証方式は効果がなくなり、詐欺は減らないでしょう。

――　Microsoftは既にWindowsユーザーに多要素認証を提供しています（Windows対応のRSA SecurID）が、多くのユーザーはそれを採用していません。「オンラインコンシューマーは、詐欺に遭うまでセキュリティを気にしない」というのは本当の話なのでしょうか？

シュナイアー氏　私にはそれが「本当の」話なのかどうか分かりません。それが話の一部であることは確かです。残りの話は「銀行は業績に影響しない限りセキュリティを気にしない」というものです。私は完全に二要素認証を無視しているわけではありません。そのことは心に留めておいてください。二要素認証が大きな効果を上げる用途もあります。従業員によるサーバとアプリケーションへのアクセスを管理しようとしている企業にとって、二要素認証はセキュリティを大きく向上させるでしょう。そういったシナリオでなら、この技術は意味をなすのです。

　シュナイアー氏の最近の記事はこちら。