過信は禁物? ワンタイムパスワードはどこまで安全なのか:半径300メートルのIT(1/2 ページ)
最近、安全性が高い認証方法として認知され始めている「ワンタイムパスワード」。しかし、この手法には本当に死角がないのでしょうか?
最近では、多くのオンラインバンキングサービスで「ワンタイムパスワード」を利用できるようになりました。GoogleやTwitter、Facebookの「2要素認証」の1つとしても認知が拡大し、“毎回変わる6〜8桁の数字を、通常のパスワードと併用して入力すれば安全”という認識が広く浸透し始めているようです。
極論を言えば、全てのサービスがワンタイムパスワードに対応すれば、これまでのパスワードが漏えいしたとしても、ログインは失敗に終わるはずです。一手間かかりますが、これで安全性は確保できます。
しかし、ワンタイムパスワードさえ使えば、本当にIDやお金を“完璧に”守れるのでしょうか? 今回は、この仕組みについて考えてみます。
敵のターン:ワンタイムパスワードの弱点とは
ワンタイムパスワードが「メール」や「SMS」で送られてきた場合を考えてみましょう。もし、マルウェアに感染したPCやスマートフォンでそれを受け取ったら、“その瞬間に、マルウェアが情報を横取りする”という仕組みが考えられます。横取りした犯人は、それらの情報を使ってログインすれば、送金処理ができてしまいます。
このような手法は、本人とサービスとの通信の間に入り込み、情報を横取りしたり書き換えたりすることから「中間者攻撃」(Man-in-the-middle Attack:MITM攻撃)と呼ばれます。2013年9月にはこの手法によるインターネットバンキング被害が続出し、IPA(独立行政法人情報処理推進機構)も注意を呼び掛けていました。
この中では「ハードウェアトークンによるワンタイムパスワード生成器」が紹介されており、「今回の攻撃に対して安全です」と紹介されていました。メールを使わないので、一見すると安全そうです。しかし、これも今では正しい方法とはいえません。新たに「MITB」と呼ばれる攻撃が登場しているからです。
MITBとは「Man-in-the-Browser」の略で、Webブラウザを利用する通信の“中”で中間者攻撃を成立させるというもの。例えばあなたが「口座番号1234567に、1万円振り込む」という処理をしたときに、マルウェアに感染したPCで動くWebブラウザ内で「口座番号6666666に、30万円振り込む」という処理に書き換えられたとします。もちろん、マルウェアは画面上で「口座番号1234567に、1万円振り込む」と、正しい表示を行います。ワンタイムパスワードを入力する画面も普段と一緒なので、異なる口座に不正に送金ができてしまうのです。
関連記事
- 「半径300メートルのIT」記事一覧
- iPhoneをなくして分かる、二要素認証の落とし穴
このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。 - あらゆる個人情報を奪われたWIRED記者が犯した“痛恨のミス”
一見、強固に見える「本人確認」にもスキがある――。それを実感させられる事件が米国で起こりました。あらゆる個人情報をハッキングされたこの事件はどうして起こったのでしょうか。こうした事態を防ぐ方法はあるのでしょうか。 - iPhone 7で話題の電子マネー、現金よりも安全な理由
FeliCaを搭載したiPhone 7の登場で、いよいよ日本でもiPhoneを使った決済サービス「Apple Pay」がスタートします。これを契機に普及が予想される電子マネーですが、どんなメリットやリスクがあるのでしょうか。 - 1日5分でできる、ランサムウェア対策
大事なデータを勝手に暗号化し、身代金を要求するランサムウェア。その被害は個人にも及んでいます。今回は、被害にあって絶望しないための対策法を紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.