過信は禁物? ワンタイムパスワードはどこまで安全なのか:半径300メートルのIT(2/2 ページ)
最近、安全性が高い認証方法として認知され始めている「ワンタイムパスワード」。しかし、この手法には本当に死角がないのでしょうか?
このような攻撃の恐ろしいところは、通信内容だけが巧妙に書き換えられるため、「利用者がいくら注意しても見抜くことが困難」な点です。接続先は正規サイトですから、アドレスバーのドメイン名も正規のまま。利用者が「あやしい」と判別することはできません。
つまり、ハードウェアトークンによるワンタイムパスワードを利用したからといって、100%安全とはいえないのです。
われらのターン:トランザクション署名
もちろん、こうした脅威をITを使ってクリアする方法も考えられています。対策の1つ、「トランザクション署名」と呼ばれる手法は、スマートフォンアプリやハードウェアトークンを使って「取引内容をデジタル署名」します。
例えば、みずほ銀行が採用しているワンタイムパスワードカードは、振込先の口座番号を入力すると、その数値を元にしたデジタル署名が「8桁の数字」として表示されるようになっています。それを振込画面で入力することで、Webブラウザ内で振込先を書き換えられても、8桁の数字が異なれば「何かがおかしい」と見抜くことができるのです。
また、住信SBI銀行が採用している「スマート認証」では、振込しようとするとスマートフォンアプリに「振込先」「金額」が表示されます。もしスマートフォンアプリに表示された振込先が合っていれば、スマートフォン側で承認をタップします。この方法でも、Webブラウザ内での書き換えを見抜けますね。
われらに必要な最後のステップとは
このように、ワンタイムパスワードは完璧ではありませんが、安全性を向上させていくさまざまな手法が考えられています。ただし、最後の砦となるのは、やはり「人」なのです。上述の仕組みを利用する際には、必ず人間によるチェック作業を伴います。“なぜ、それが必要なのか”ということをきっちり理解しておきましょう。
例えば「みずほ銀行」のトランザクション署名は、振込時に相手の“口座番号”を入れます。これは振込先の口座番号が改ざんされないようにするためと知っていればいいですが、もしマルウェアがWebブラウザに、「ワンタイムパスワードカードにXXXXXXXを入力し、表示された数値を入力してください!」と表示させていたら、言われた通りに入力してしまいませんか? 実はそのXXXXXXXこそ、悪意ある者が指定した口座番号かもしれません。そのため、私たち自身が、その入力は何のために行うのか「セキュリティ対策の意味を知っておく」ことも重要なのです。
セキュリティ対策とは、悪意ある者との知恵比べであると同時に、さまざまな対策を知り、技術革新に合わせて自分自身をアップデートすることです。2017年も本コラムは、さっと読めて、探求の入り口にもなる内容を目指しますので、本年もどうぞよろしくお願いします。
本記事の参考データ
- 第2回セキュアシステムシンポジウム:Man-in-the-Browserの 脅威と根本的な解決策
- 金融庁 金曜ランチョン:インターネットバンキング不正送金被害の根本的対策と監督当局の関わり方
- 産総研高木氏の提案、試作機によるデモも:本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
関連記事
- 「半径300メートルのIT」記事一覧
- iPhoneをなくして分かる、二要素認証の落とし穴
このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。 - あらゆる個人情報を奪われたWIRED記者が犯した“痛恨のミス”
一見、強固に見える「本人確認」にもスキがある――。それを実感させられる事件が米国で起こりました。あらゆる個人情報をハッキングされたこの事件はどうして起こったのでしょうか。こうした事態を防ぐ方法はあるのでしょうか。 - iPhone 7で話題の電子マネー、現金よりも安全な理由
FeliCaを搭載したiPhone 7の登場で、いよいよ日本でもiPhoneを使った決済サービス「Apple Pay」がスタートします。これを契機に普及が予想される電子マネーですが、どんなメリットやリスクがあるのでしょうか。 - 1日5分でできる、ランサムウェア対策
大事なデータを勝手に暗号化し、身代金を要求するランサムウェア。その被害は個人にも及んでいます。今回は、被害にあって絶望しないための対策法を紹介します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.