不正送金対策
~OCRA仕様OTPトークンを利用し、MITBによる不正送金リスクを低減~
現在、MITB(Man In The Browser)と呼ばれる、主に金融機関が提供するインターネットバンキングを対象とした攻撃による深刻な被害が急増しています。
MITB攻撃はターゲット(金融機関の口座所有者)のコンピュータに感染させたマルウェアを使い、インターネットバンキングの利用を監視し、ログイン等の処理が始まるとセッションを乗っ取り、不正送金などの金融詐欺を行います。
OCRA仕様OTPトークンを使ったトランザクション署名処理方式を実装することにより、MITB攻撃による不正送金対策に効果を発揮し、金融詐欺のリスクを低減することが可能です。
マルウェアの脅威が深刻な中国国内銀行では、より高度なセキュリティ対策を実現するため、対話型USBトークンを利用した不正送金対策も実施されています。
MITB攻撃とは?
MITB攻撃の概要
MITB攻撃では、ブラウザーの正しいセッションに便乗し、不正な操作を紛れ込ませます。
例えば、ユーザーがインターネットバンキングにログインし、送金しようとした場合、ユーザーが入力した振込先情報をマルウエアが勝手に書き換えを行います。ログインや送金の操作を行うのはユーザー自身のため、高度な認証処理でも回避されてしまいます。
さらに、Webサイトの表示内容をマルウエアが書き換えを行います。例えば、送金履歴の表示を書き換え、ユーザーが本来送金しようとしていた相手に、振り込まれたように見せかけます。
そのため、ユーザー側でインターネットバンキングの画面を見ているだけでは、不正利用されていることに気付くことができません。また金融機関側にも、特別な対策を施していない限り、正当な送金操作が行われているように見えてしまいます。
インターネットバンキングでの不正送金被害例
被害内容 | |
海外 | – 2012年1月~3月にわたり、ヨーロッパを中心に中南米や米国の金融機関、14,000社以上が被害にあう大規模な攻撃が行われた。 – 攻撃に使用されたウィルスはMITB攻撃で、不正送金を行っていた。 – 被害総額は7,800万ドルと推定され、攻撃名は「Operation High Roller」と呼ばれる。 |
日本 | – インターネットバンキングのIDやパスワードが盗まれ、銀行口座からの不正送金被害が、2013年1月から12月の1年間で1315件、被害額約14億円に上っている。(警察庁データによる) – 被害は個人から法人へ拡大。法人被害は2013年度で10件程度であったが、2014年には4月だけで300件近くに急増。 |
MITB攻撃に対するセキュリティ製品の有効性
対策 | 有効性 | 解説 |
サーバー証明書(EV-SSL) | × | 本物のサイトにアクセスしているため、ブラウザのツールバーで正常を示す緑色になるが、本物の画面に不正な情報が表示される事は防げない。 |
ウィルス対策ソフト | △ | MITB攻撃型ウィルスの平均検知率は50-60%、ステルス機能を持った高度なウィルスは検知できない場合が多い。バターンの更新が追い付いていない。 |
一般的な二要素認証(OTP) | △ | 不正ログインへの対策はできるが、攻撃そのものは防げない、送信処理の改ざんには対応できない。 |
OCRA仕様OTP トークンによるトランザクション署名 | 〇 | OCRA(OATH
Challenge-Response Algorithm)とは、OATHをベースにしたチャレンジレスポンス仕様。 近年、海外の金融機関で最も有効なフィッシング、MITB対策として採用が進んでいる。テンキー付のトークン等を利用して、振込認証強化、否認防止/取引改ざん防止(トランザクション署名)として多数利用されいる。 |
OCRAトランザクション署名による不正送金対策
MITBによる不正送金対策 トランザクション署名による振込情報検証処理の流れ
OCRA仕様テンキー付きOTPトークンを使用したトランザクション署名を実施することで、振込情報の検証を行い、MITBによる攻撃を検知することが可能です。
①インターネットバンキングを利用するユーザは振込処理を実行する際、OCRA仕様OTPトークンに振込先口座番号・振込金額を入力し、振込情報に対する署名を生成します。
②インターネットバンキングの振込処理画面で振込先口座番号・振込金額とともに、OTPトークンで生成した署名値を入力し、サーバに送信します。
③インターネットバンキングサーバではユーザIDからユーザ所持するOTPトークンの番号を検索し、送信された振込情報とともにOCRA対応認証OTP認証サーバに転送し、OTPトークンと同じ方式で検証用署名を生成します。
④インターネットバンキングサーバでは、ユーザから送信された署名とOCRA認証サーバで生成された署名の検証を行います。値が合致すれば、正しい振込情報と判断し、処理を続行します。値が不一致であれば、振込情報が不正であると判断し、エラーメッセージを返します。
トランザクション署名に対応したOCRA仕様OTPトークンC300製品
対話型USBトークンによる不正送金対策
マルウェアの脅威が深刻な中国国内では、より高度な不正送金対策として対話型USBトークンの導入が進んでいます。対話型USBトークンは法人向け一括振込にも、安全に対応することが可能です。
【対話型USBトークンを利用した処理の流れ】
①一括振込等を実行する際、ブラウザのアドオンプログラムがトランザクションの内容をUSBポート経由でUSBトークンに転送します。
②USBトークンの液晶にトランザクション内容(振込明細、総件数と総金額等)が表示され、利用者はその内容をUSBトークンの上下ボタンでスクロールし確認します。
③利用者が内容に問題がないことを確認し、USBトークンにある「OK」ボタンを押すと、USBトークン内でトランザクション内容に電子署名が行われます。
④電子署名された情報がUSB経由でブラウザに転送され、さらにサーバー側に送信されます。
⑤サーバー側で電子署名を検証し、署名が正しければ処理を実行します。
不正送金対策に関するFAQ
質問Ⅰ | OCRA仕様のワンタイムパスワードトークンとは何ですか? 何故、MITB攻撃に有効ですか。 |
回答Ⅰ | MITBの手口は、被害者のPCに侵入したマルウェアが、オンラインバンキングなど特定のページにアクセスしたときにだけ動作し、Webページの表示に改ざんを加え(=Webインジェクション)、IDやパスワード情報を盗み取ったり、送金先口座を変更してしまったりします。 このようなMITB攻撃に対し、重要な取引を行うときに、独立したハードウェアを併用して取引内容について確認を行う仕組み、いわゆる「トランザクション署名」ならば、送金先の変更などの改竄を検知出来ます。 OCRA仕様のワンタイムパスワードトークンとは、OATHが電子商取引のセキュリティを向上させるために、既存のOTPアルゴリズムにチャレンジ・レスポンスモードを追加したトランザクション署名できるトークンですが、今現在最もMITB対策に有効なトークンです。 |
質問Ⅱ | マルウェア対策をしなくてもOCRA対応のワンタイムパスワードトークンがあれば不正送金被害は防げるのですか。 |
回答Ⅱ | それは正しくありません。 前の表にある通り複数のタイプの違う対策がありますが、それぞれ得意不得意があります。 フィッシングに有効な「サーバー証明書」、ウィルスに有効な「ウィルス対策ソフト」、MITBに有効な「OCRA仕様のOTPトークン」です。それぞれを組み合わせる事が最も有効な対策だと思います。 その中でOCRA仕様のOTPトークンは、従来型のタイムベースOTPトークンと違い、トランザクション署名が出来ます。それはトランザクションの一部の改ざんを検知できる事を意味します。 尚、2014年5月15日に全国銀行協会が通達を出していますが、同じく複数の対策を取る事が必要であるとしています。 |
質問Ⅲ | 対話型USBトークンとは何ですか。また、これまでのUSBトークンとの違いは何ですか。 |
回答Ⅲ | 対話型USBトークンは、複数口座への一括送金に有効な第2世代USBトークンです。 今までの電子証明書を格納出来るUSBトークンに振込情報を表示するする事が出来、振込内容を確認し、「OK」ボタンを押すとUSBトークン内でトランザクション内容に電子署名が行えるトークンです。 |
質問Ⅳ | 対話型USBトークンは、MITB対策に何故有効ですか。 |
回答Ⅳ | これまではPCに電子証明書を格納したネットバンキングの利用が大半でしたが、乗っ取り型ウィルスの手口ではパソコンそのものが遠隔操作されてしまい、「電子証明書」方式でも、不正振込の被害に遭う事がありました。 しかし、対話型USBトークンの場合は、PCの外側でICカードが内蔵されたトークン内に電子証明書を格納している為、一切情報が外に出る事はありません。 送金を行う際に、対話型USBトークンに表示されている振込先口座や振込み金額等を確認して電子署名処理を行う(トランザクション署名)ことで、トランザクションの一部の改ざんを検知することが可能なため、MITBには有効なデバイスです。 |
※ 2014/5/16(金) 第11回情報セキュリティEXPO(春)にて「インターネットバンキング不正送金対策」をテーマとしたセミナーを実施しました。
本セミナーでは、不正送金問題の現状、セキュリティ対策の比較をまじえ、MITB攻撃による不正送金対策に有効なデバイスのご紹介、中国国内での導入事例などを紹介いたしました。セミナー資料をご希望の場合、製品問合せページから、「不正送金対策セミナー資料希望」としてお申込み下さい。