is702

ネットバンキングを安心して利用する5つのヒント認証情報の漏えいを防ぐのがカギ

2014/08/07
ネットバンキングを安心して利用する5つのヒント認証情報の漏えいを防ぐのがカギ

「二要素認証」で危険を回避しよう

ネットバンキングは大きく秘密の質問と回答、トークン、および乱数表を用いる二要素認証の仕組みを導入しています。

秘密の質問と回答

ユーザがあらかじめ選択・登録した質問の回答を入力することで認証する仕組みです。たとえば、「母親の旧姓は?」「出生地は?」「ペットの名前は?」など複数の質問からいくつかを選択し、その回答を自由に設定できます。

ワンタイムパスワード

ワンタイムパスワードとは、一度しか使えないその場限りのパスワードのことです。ワンタイムパスワードを使った認証では、トークンやスマホ向けのアプリといった手段を利用します。トークンは、「ワンタイムパスワード」を表示させる機器です。ID/パスワードに加えて、トークンに表示されるランダムな数字を入力することで認証を行います。トークンに表示されるワンタイムパスワードは、例えば1分毎など、一定時間毎に変更されます。専用のトークンが配布される場合もあれば、携帯電話をトークンとして使用する場合もあり、その場合は、ユーザが事前に登録した携帯電話に送られてくる認証コードを入力します。また、スマホ向けのワンタイムパスワード表示アプリが提供される場合もあります。

乱数表

乱数表は縦横にアルファベットと数字が記載されたカードで、口座開設時に金融機関から配布されます。ネットバンキングの認証画面上で指定されたマス内の英数字を入力して認証を行います。

このようにネットバンキングはさまざまな不正送金対策を行っていますが、犯罪者も新しい攻撃手法を生み出しており、両者のイタチごっこは続いています。最近は、オンライン銀行詐欺ツールと呼ばれるウイルスを用いて、これらの認証情報を盗み取ろうとする手口が増えています。

オンライン銀行詐欺ツールに感染すると

1.オンライン銀行詐欺ツールはパソコンの通信を常時監視し、ユーザがネットバンキングの正規ログインページにアクセスするのを検知します。

2.ログインのタイミングや、サービスを利用しているタイミングで、ID/パスワードに加え、秘密の質問の回答やトークンに表示されるワンタイムパスワード、乱数表の配列を入力するよう促す、偽の認証画面を正規の画面内に挿入したり、ポップアップで表示したりします。

3.入力された認証情報を外部の攻撃者に送信します。

4.情報を盗み出した攻撃者は、被害者本人になりすましてログインし、被害者の口座から預金を不正送金します。

オンライン銀行詐欺ツールが狙うのは、ネットバンキングだけではなく、同様の手口でクレジットカード情報も標的にしています。具体的には、ユーザがクレジットカードの利用明細の確認ページにログインした後にカード番号や有効期限、セキュリティコードなどの入力を促す偽の画面を表示し、入力された情報を犯罪者に送信します。金銭やそれに準ずる電子マネー、換金可能なポイントなどのやりとりが伴うオンラインサービスの認証については、同様のリスクがあると覚えておいてください。

前へ 1 2 3 次へ
  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ