« 技術の伝承と技術者のレベルの伝承 | トップページ | 視点を変えるということ »

2013年1月31日 (木)

オンラインバンキング詐欺の手口にびっくり

 安全対策は「セキュリティを盲信しない」という記事を読んで、オンラインバンキング詐欺の手口におどろいた。こんなことを考えるなんて、ずるがしこいとしかいいようがない。
 この手の手口にかかるとワンタイムパスワードですらハッキングされてしまうらしい。少し長いが引用する。

 利用者はログインIDやパスワードを使い、ネットバンキングサイトに正規にログインする。その際、ウイルスがWebインジェクション攻撃でHMTLを改ざんし、本来は送金操作の直前に入力するはずのワンタイムパスワードの入力フォームを、この段階で表示させる。
 利用者が画面の指示に従ってワンタイムパスワードを入力すると、ウイルスはWebインジェクションにより、ブラウザーに「しばらくお待ち下さい」といった偽画面を表示させ、時間を稼ぐ。その間にウイルスはブラウザーに、不正な口座番号と送金額、不正取得したワンタイムパスワードを含む偽情報を、銀行サイトに順次送らせる。利用者からは何も見えないまま、銀行サイトのサーバーから見れば正規のプロセスで送金処理が進む。ワンタイムパスワードの有効時間内に口座の不正操作を終わらせることで、ワンタイムパスワードによる認証を破ってみせたわけだ。

 つまり、ワンタイムパスワードの技術そのものが破綻したわけではない。ハッキングしたのは、Webインジェクション攻撃である。でも、これでワンタイムパスワードを第三者が盗み見することができたわけである。サイトにちょっとした脆弱性があれば、それを突くことで極めて安全なはずのワンタイムパスワードがハッキングされてしまうのである。セキュリティ対策は、1カ所でも弱い箇所があれば、他の部分がどれだけ強固でもだめな世界であるが、よくわかる例の典型である。

« 技術の伝承と技術者のレベルの伝承 | トップページ | 視点を変えるということ »

パソコン・インターネット」カテゴリの記事

技術」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/568535/56668210

この記事へのトラックバック一覧です: オンラインバンキング詐欺の手口にびっくり:

« 技術の伝承と技術者のレベルの伝承 | トップページ | 視点を変えるということ »

2017年10月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

公告

  • Google Adsense
無料ブログはココログ