ニュース
» 2009年12月16日 08時43分 UPDATE

中間者攻撃で取引内容を改ざん、オンラインバンキングを狙う

トロイの木馬を使ってWebブラウザを標的に中間者攻撃を仕掛け、銀行の二要素認証をかわしてしまう攻撃が各国で相次いでいるという。

[ITmedia]

 トロイの木馬を使ってWebブラウザを標的に中間者攻撃(Man-in-the-Browser攻撃=MITB攻撃)を仕掛け、オンラインバンキングなどのニ要素認証をかわしてしまう攻撃が各国で相次いでいるという。調査会社米Gartnerが分析結果を公表し、こうした攻撃を防ぐための対策を紹介した。

 Gartnerによると、オンラインバンキングを狙ったMITB攻撃は、今年に入って世界各地で多数の銀行と顧客に対して仕掛けられている。ワンタイムパスワードトークンを使った二要素認証のほか、ICチップ入りカードやバイオメトリクス技術を使った認証もブラウザ経由で破られる恐れがある。さらに、電話を使ったニ要素認証も、サービス事業者からの確認の電話を攻撃者へ転送させる手口でかわされてしまうという。

 一例として、ユーザーがオンラインバンキングサイトへ送った取引内容をマルウェアによって書き換えてしまう手口を紹介している。銀行側は通常、ユーザーから指示された取引内容をユーザーのブラウザに送り返し、ユーザーがワンタイムパスワードを入力してこの内容を確認する仕組みになっているが、マルウェアはその内容を再度書き換えてユーザーが指示した通りの内容を表示させるため、ユーザー側も銀行側も、銀行に送られた取引内容が改ざんされたことには気付かないという。

 こうした攻撃を防ぐためには、サーバベースの不正検知などを含む多層型の不正防止策が有効だとGartnerは指摘。具体的には、ユーザーのアクセス監視、不審な取引内容の監視、別の通信手段を使った取引内容の確認などを通じて不正を見つけ出す手段を紹介している。

過去のセキュリティニュース一覧はこちら

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

関連ホワイトペーパー

認証 | SSL


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -