ワンタイムパスワードにはさまざまな種類がありますが、その中で最も普及しているのが、一定時間ごとに変化する使い捨てパスワードである「時刻同期型ワンタイムパスワード」です(図2)。
日本でも、いくつかの金融機関が時刻同期型ワンタイムパスワードを導入しています。中には、ワンタイムパスワードを生成表示するキーホルダー程度の大きさのトークンをお持ちの方もいらっしゃるでしょう。
また米国では、2006年末までに公的機関(FFIEC:米国連邦機関検査協議会)が二要素認証を導入するように推奨しているため、多くの金融機関が時刻同期型ワンタイムパスワードを導入しています。本人が「知っている」パスワードに加えて、本人が「持っている」トークンが表示するワンタイムパスワードで認証を組み合わせることで、二要素認証となるわけです。
しかし2006年7月には、時刻同期型ワンタイムパスワードを採用している米Citibankを狙った「中間者攻撃」(man-in-the-middle attack)という新たな手口が出現しました。
中間者攻撃とは、例えば銀行を装った偽Webサイトを用意し、預金者が使っている端末と正規Webサイトの間の通信に割り込んで不正中継を行い、通信内容を改ざんする手口です(図3)。
ネットバンキングにおける振込取引の場合で説明してみましょう。
このように、中間者攻撃に対して時刻同期型ワンタイムパスワードは無力です。そもそも、中間者攻撃のようにリアルタイムに通信内容を改ざんする技術がなくても、偽Webサイトに横取りされた時刻同期型ワンタイムパスワードは、即座に人手で悪用されてしまう危険もあります。
このように残念ながら、オンライン詐欺の手口は、ネットバンキングのセキュリティ対策よりも先を行っているのが現状です。
・巧妙化するオンライン詐欺と戦う
オンライン詐欺の手口は巧妙化する一方です。これに対し、本人認証(本人に間違いないということを確認すること)だけで預金者を守るのは、難しくなってきているのかもしれません。
例えば、中間者攻撃のような通信のハイジャックによって本人認証情報を不正中継されれば、攻撃者は簡単に預金者になりすませてしまいます。他にも、トロイの木馬などを用いて端末をハイジャックし、本人認証済みの端末を遠隔操作されれば、攻撃者が勝手に取引を行うことが可能になってしまいます。
Copyright © ITmedia, Inc. All Rights Reserved.