ニュース
» 2004年11月08日 18時54分 公開

ウイルスの手法を利用するフィッシャーたち (3/3)

[IDG Japan]
IDG
前のページへ 1|2|3       

PCが感染したらどうするか

 PCユーザーがこのトロイの木馬の攻撃を防ぐためには、Microsoftのセキュリティパッチを使ってWindowsおよびInternet Explorer(IE)を最新バージョンにしておく必要がある。IE以外のブラウザの利用を検討するのもいいだろう。しかし、いったんコンピュータが侵入を受けると、変更されたhostsファイルは、感染したPC上で使っている任意のブラウザ(IEだけに限られない)に影響するということを忘れてはならない。

 Anti-Phishingワーキンググループのデーブ・ジェバンス会長によると、PCが既にJS/QHosts21-Aに感染しているのであれば、手作業でhostsファイルを元の形式に戻す必要があるという。Windows XPのユーザーの場合は、テキストエディタ(メモ帳、ワードパッド、Microsoft Wordなど)を使ってhostsファイル(C:\WINDOWS\system32\drivers\etc\hostsに置かれている)を変更することができる。ジェバンス氏によると、JS/QHosts21-Aに感染していれば、hostsファイルの中に以下の項目が含まれている。

200.155.4.45 www.unibanco.com.br

200.201.166.200 www.caixa.com.br

200.155.100.225 www.bradesco.com.br

 これらの項目が見つかれば、それらを削除した上でhostsファイルを保存し、システムを再起動すればいい。

将来のフィッシング攻撃に備える

 フィッシャーが採用した新たな手口による脅威は、多数の銀行や金融機関のWebサイトのセキュリティが不十分であること示すものでもある、と専門家は指摘する。

 Vasco Data Security Internationalの通信担当ディレクター、ジョーケム・ビンスト氏は、「あなたの銀行が固定的なユーザー名とパスワードを採用しているとしたら、それは家の鍵をドアマットの下に隠しておくようなものだ。ネット上で固定的なパスワードを使用するというのは、もはや決してセキュアでない」と話している。

 欧州で多くの銀行が採用しているといわれる二因子認証方式は、フィッシングやキーストロークロギングのようにパスワードを盗み出す攻撃に有効なようだ。

 ドイツ在住の読者、イェレン・ヘクストラム氏も、同氏のオンライン銀行口座で二因子認証方式を利用している。「銀行からパスワードのリストをもらうのだが、これらのパスワードは一度だけしか使えないようになっている」と同氏は話す。

 この方式では、銀行口座にログインする際にユーザー名とパスワードのほかに、銀行からもらったパスワードの1つを使用する。銀行からもらったパスワードは1回使用すると、もう使えなくなるため、たとえフィッシャーがユーザーの情報を盗み出すのに成功したとしても、それは使い物にならないのだ。

 「このシステムは安価で信頼でき、悪質なソフトウェアの心配をしなくても済む。興味深いことに、私は利用しているドイツのCitibankではこのシステムが採用されている。なぜ米国では使われていないのか不思議だ」とヘクストラム氏は話す。

オンライン銀行もセキュリティの強化が求められる

 「ユーザーはセキュリティを改善するよう銀行に圧力をかけるべきだ。今でもユーザーがログインするたびに、同じパスワードを入力するよう求めている銀行が多いのには驚くばかりだ。そのほうが銀行にとって安上がりで簡単だからだ。セキュリティを確実なものするためには、ログインするたびに変化するパスワードを使用する必要がある」とクルーリー氏は指摘する。

 米国でも一部の企業で二因子認証方式の導入が進んでいるが、同方式を採用している銀行はまだない。America Onlineでは、ユーザーがRSA Securityの「SecureID Key Fob」を使ってログインすることができる。これは、1分ごとに変化する6桁のコードを表示するという方式だ。Microsoftは数カ月前に実施したアップデートで、OSレベルでのSecureIDの広範なサポートをWindowsに追加した。

 「ほとんどのオンライン銀行が現在用いているセキュリティ手法は間違っている」とクルーリー氏は話す。

 「銀行自身がオンラインバンキングのあり方を見直す必要がある。彼らは今のところ、エンドユーザーを保護する対策を十分に講じていない。金融機関にも二因子認証メカニズムを採用してもらいたいものだ」とNetIQのマグラス氏は話す。

 「この方式を採用している大手銀行を私は知らない。口座をタイムアウトするといった基本的なセキュリティ対策さえ講じていない銀行もある」(同氏)

前のページへ 1|2|3       

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ