過信は禁物？ ワンタイムパスワードはどこまで安全なのか：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

　このような攻撃の恐ろしいところは、通信内容だけが巧妙に書き換えられるため、「利用者がいくら注意しても見抜くことが困難」な点です。接続先は正規サイトですから、アドレスバーのドメイン名も正規のまま。利用者が「あやしい」と判別することはできません。

　つまり、ハードウェアトークンによるワンタイムパスワードを利用したからといって、100％安全とはいえないのです。

われらのターン：トランザクション署名

　もちろん、こうした脅威をITを使ってクリアする方法も考えられています。対策の1つ、「トランザクション署名」と呼ばれる手法は、スマートフォンアプリやハードウェアトークンを使って「取引内容をデジタル署名」します。

　例えば、みずほ銀行が採用しているワンタイムパスワードカードは、振込先の口座番号を入力すると、その数値を元にしたデジタル署名が「8桁の数字」として表示されるようになっています。それを振込画面で入力することで、Webブラウザ内で振込先を書き換えられても、8桁の数字が異なれば「何かがおかしい」と見抜くことができるのです。

トランザクション署名に対応する、みずほ銀行の「ワンタイムパスワードカード」

　また、住信SBI銀行が採用している「スマート認証」では、振込しようとするとスマートフォンアプリに「振込先」「金額」が表示されます。もしスマートフォンアプリに表示された振込先が合っていれば、スマートフォン側で承認をタップします。この方法でも、Webブラウザ内での書き換えを見抜けますね。

PCとスマホで振り込み内容をダブルチェックする住信SBI銀行の「スマート認証」

われらに必要な最後のステップとは

　このように、ワンタイムパスワードは完璧ではありませんが、安全性を向上させていくさまざまな手法が考えられています。ただし、最後の砦となるのは、やはり「人」なのです。上述の仕組みを利用する際には、必ず人間によるチェック作業を伴います。“なぜ、それが必要なのか”ということをきっちり理解しておきましょう。

　例えば「みずほ銀行」のトランザクション署名は、振込時に相手の“口座番号”を入れます。これは振込先の口座番号が改ざんされないようにするためと知っていればいいですが、もしマルウェアがWebブラウザに、「ワンタイムパスワードカードにXXXXXXXを入力し、表示された数値を入力してください！」と表示させていたら、言われた通りに入力してしまいませんか？　実はそのXXXXXXXこそ、悪意ある者が指定した口座番号かもしれません。そのため、私たち自身が、その入力は何のために行うのか「セキュリティ対策の意味を知っておく」ことも重要なのです。

　セキュリティ対策とは、悪意ある者との知恵比べであると同時に、さまざまな対策を知り、技術革新に合わせて自分自身をアップデートすることです。2017年も本コラムは、さっと読めて、探求の入り口にもなる内容を目指しますので、本年もどうぞよろしくお願いします。

本記事の参考データ

• 第2回セキュアシステムシンポジウム：Man-in-the-Browserの 脅威と根本的な解決策
• 金融庁 金曜ランチョン：インターネットバンキング不正送金被害の根本的対策と監督当局の関わり方
• 産総研高木氏の提案、試作機によるデモも：本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を

著者紹介：宮田健（みやた・たけし）

『デジタルの作法』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より：

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド＆PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。