過信は禁物? ワンタイムパスワードはどこまで安全なのか半径300メートルのIT(1/2 ページ)

最近、安全性が高い認証方法として認知され始めている「ワンタイムパスワード」。しかし、この手法には本当に死角がないのでしょうか?

» 2017年01月11日 08時00分 公開
[宮田健ITmedia]

 最近では、多くのオンラインバンキングサービスで「ワンタイムパスワード」を利用できるようになりました。GoogleやTwitter、Facebookの「2要素認証」の1つとしても認知が拡大し、“毎回変わる6〜8桁の数字を、通常のパスワードと併用して入力すれば安全”という認識が広く浸透し始めているようです。

 極論を言えば、全てのサービスがワンタイムパスワードに対応すれば、これまでのパスワードが漏えいしたとしても、ログインは失敗に終わるはずです。一手間かかりますが、これで安全性は確保できます。

 しかし、ワンタイムパスワードさえ使えば、本当にIDやお金を“完璧に”守れるのでしょうか? 今回は、この仕組みについて考えてみます。

敵のターン:ワンタイムパスワードの弱点とは

 ワンタイムパスワードが「メール」や「SMS」で送られてきた場合を考えてみましょう。もし、マルウェアに感染したPCやスマートフォンでそれを受け取ったら、“その瞬間に、マルウェアが情報を横取りする”という仕組みが考えられます。横取りした犯人は、それらの情報を使ってログインすれば、送金処理ができてしまいます。

 このような手法は、本人とサービスとの通信の間に入り込み、情報を横取りしたり書き換えたりすることから「中間者攻撃」(Man-in-the-middle Attack:MITM攻撃)と呼ばれます。2013年9月にはこの手法によるインターネットバンキング被害が続出し、IPA(独立行政法人情報処理推進機構)も注意を呼び掛けていました。

 この中では「ハードウェアトークンによるワンタイムパスワード生成器」が紹介されており、「今回の攻撃に対して安全です」と紹介されていました。メールを使わないので、一見すると安全そうです。しかし、これも今では正しい方法とはいえません。新たに「MITB」と呼ばれる攻撃が登場しているからです。

 MITBとは「Man-in-the-Browser」の略で、Webブラウザを利用する通信の“中”で中間者攻撃を成立させるというもの。例えばあなたが「口座番号1234567に、1万円振り込む」という処理をしたときに、マルウェアに感染したPCで動くWebブラウザ内で「口座番号6666666に、30万円振り込む」という処理に書き換えられたとします。もちろん、マルウェアは画面上で「口座番号1234567に、1万円振り込む」と、正しい表示を行います。ワンタイムパスワードを入力する画面も普段と一緒なので、異なる口座に不正に送金ができてしまうのです。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ