【緊急寄稿】オンラインバンキング不正送金問題について

IT・IT製品TOP > Key Conductors > 亀田 治伸(日本セーフネット株式会社) > 【緊急寄稿】オンラインバンキング不正送金問題について
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

【緊急寄稿】オンラインバンキング不正送金問題について

エンドポイントセキュリティ 2014/05/16

オンラインバンキング不正問題での「なりすましログイン」の背景と技術的対策

 昨今、オンラインバンキングの不正問題が相次いでいる。新聞、テレビ、ニュースなどで毎日注意喚起がなされており、だいぶユーザにも浸透しつつある。その社会情勢の中で、セキュリティに対するコンサルティングのお仕事をさせていただいており、いろいろな方と会話をさせていただく中で、気になっている点が増えてきたため、今回本寄稿をさせていただくこととした。
 本寄稿では多々ある攻撃手法の中でも、1番被害が大きいと思われる「なりすまし不正ログイン」に焦点を当てている。なりすましログイン以外の不正送金攻撃については機会があれば別途触れさせていただくが、今回はご容赦いただきたい。

まず最初に…被害者は誰なのか?

 まず気になっている点は、オンラインバンキングを提供している銀行が“悪”であり、ユーザが“善”であり被害者である、という理解をされている方が非常に多いということだ。ユーザが“善”であり被害者であることは間違いなく異論の余地はない。ただし、銀行も攻撃を受けている存在であり「被害者である」ということが忘れられているケースが多い。
 皆さんは日本の個人向けオンラインバンキングにおいては、不正送金における被害は、ユーザの重過失(ないとは思うが、SNSなどでオンラインバンキングのパスワードをアップしていた等)を除いて、すべて銀行が補填しているという事実をご存じだろうか?その上でID/PWD以外の認証の仕組みを提供するコスト負担も行っている。通常ECサイトを鑑みるに、ID/PWDでサービスが提供されるケースが数多くあり、不正操作被害が起きた際の補てんを行っているケースは多くはない。それを考えると、個人向けオンラインバンキングはかなりユーザのことを真摯に考えているといえる。

 また、一例として三菱東京UFJ銀行のHPをご覧いただきたい。ここまで自分たちのサイトのデザインを崩す覚悟をもって、ユーザに注意喚起を行っているサイトは稀有である。このことからもかなりユーザに対して真摯であるといえると私は考える。Webサイト管理者はかなり判断に苦しんだだろう…。

ID/PWD認証はダメなのか?

 さて、オンラインバンキングの「不正送金問題のなりすましログイン」について、技術的側面を考える際にはワンタイムパスワード(OTP)と電子証明書(PKI)についての考察が必須であるが、まず1番簡易なID/PWDについての考察を述べさせていただきたいと思う。
 ID/PWDについては、言うまでもなく数ある認証方式の中で1番安全性が低いものではあるが、1番運用コストが安く、またユーザ利便性が高いことが特徴となる。昨今の不正送金問題を鑑みるに、ID・PWDでの認証方式を提供しているオンラインバンキングは、「セキュリティについて何も考えていない」「ユーザに対して不誠実である」という話をお伺いするが、筆者は異なると考えている。銀行は半公的な存在でありつつも、利益を追求すべき株式会社である。また、上記で述べたようにすべての不正送金を補填するとなると、利益上それが理にかなっているのであればそれは1つの選択肢としていえるのではないだろうか?と私は考える。一部の利益は当然ユーザになにがしかの形で還元されるため、ユーザのためにもなる。
 とはいえ、不正送金問題がクローズアップされている昨今では、社会的情勢からするとID/PWDのみでは今後難しくなる可能性が高く、また技術的考察をまとめるにはID/PWDは語りつくされているため、本寄稿では割愛させていただく。

ワンタイムパスワードと電子証明書

 強固な認証方式というと日本のオンラインバンキングではOTP(ワンタイムパスワード)とPKIのほぼ2択となるが、世界的に日本のオンラインバンキング市場はかなり特殊であるといえる。というのはほとんどの場合、個人バンキングは「OTP」、法人バンキングは「PKI」となっているからだ。また上記の話に戻るが、個人バンキングの不正送金は銀行が補填するのに対して、法人バンキングの不正送金は補填対象外となるケースがほとんどだ。これは、OTPに対してPKIの認証モデルが非常に強固であり、不正送金被害が起きない(ユーザのPC管理義務未達は除く)と言われていることに起因する。しかしながら最近法人バンキングでも、不正送金被害が発生するケースがあるといわれている。2013年警察調べによると3%が法人被害といわれている。本寄稿では次回PKI認証における技術的考察と行うべき対策のまとめ、次々回ではOTP認証における技術的考察と、行うべき対策のまとめをさせていただく予定であるが、本機構ではPKI認証とOTP認証の技術的違いを以下に簡単にまとめさせていただく。

OTP認証とPKI認証の比較

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

OTP認証とPKI認証の比較

 ここでポイントとなるのは、PKI認証の「複数端末からのログイン可否」部分となる。OTP認証と異なり、PKI認証は端末を固定することが可能である。また認証局の設定次第では、マイクロソフト系ブラウザに限定されるものの、1度ブラウザにインストールした電子証明書を他のPCのブラウザに移行させることを禁止させることが可能となる。法人向けオンラインバンキングにおいて、Windows OSでしかもIE限定であるサービスが多いのはこのことに起因しており、複数OS、複数ブラウザのサポートがコスト負担になるためではないことにご注意されたい。

OTPとPKIの認証強度による運用上の違い

 いずれにせよこれらの要因により、OTP認証は特定条件において乗っ取りが可能(パスワードを盗めば、なりすましログインが可能)であるが、PKI認証は電子証明書がインストールされているPCそのものを盗む、もしくは遠隔操作を行う以外の攻撃手法が存在していないといわれていた。このため、不正送金被害が補填される個人バンキングは、ユーザ利便性が比較的高いOTP認証、不正送金被害が補填されない法人バンキングは、ユーザ利便性がOTP認証よりは劣るPKI認証が採用されてきた背景がある。つまり、銀行サイドもPKI認証がOTP認証に比べてユーザ利便性に課題を抱えていることについては把握しつつも、その認証の強固個性から採用をしてきた歴史的背景がある。

 しかし、最近気にあるニュースある。「三菱東京UFJ銀行がこれまで補償範囲外となっていた法人バンキングについて被害が発生しつつあり、補償の範囲内とする方向で最終検討を行っている」と報じられている。また他の銀行でも複数発生しているとも記載がされている。メガバンク3行及びりそなはすべて法人バンキングについてはPKI認証を使用している。(一部Mac向けにID/PWDでのサービス提供などはされている)これはつまり、攻撃が成立しないといわれていたPKI認証に対しての攻撃が成立しているということだろうか?

PKI認証強度に対する推察:攻撃手法はまだ確立されていないはず

 発生しているオンラインバンキングの不正送金問題の統計を見ると、2014年1月に警視庁が発表した統計では2013年の被害は1315件で、そのうち個人口座が97%を占めるという。ということは法人口座の被害は約40件となる。PKI認証に対する攻撃手法が確立されていると仮定するには数字が少なすぎるのではないだろうか。個人口座に比べて法人口座に預けられている金額は一般的にはるかに多い。このため、攻撃手法が確立しているとするならば、かなりの攻撃は法人口座に集中しその被害件数は増えるはずと推論できる。

 色々調べたところ、明示的にPKI認証が攻撃され被害が発生したと断言しているニュースは存在していない。このため、攻撃が成立するとしても非常に限定した環境においてのみであり、一般的ではないと思われる。一方、いままで不可能といわれていたWindowsOS・InternetExplorerから電子証明書を抜き出すマルウェア、ツールなどはすでに存在しており、今後この手の攻撃手法が常態化することも懸念されるため、次回の章ではそのあたりの技術的考察と行うべき対策をまとめさせていただきたい。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007279


IT・IT製品TOP > Key Conductors > 亀田 治伸(日本セーフネット株式会社) > 【緊急寄稿】オンラインバンキング不正送金問題について

このページの先頭へ

キーマンズネットとは
日本セーフネット CDP事業部 サービスプロバイダ営業部 部長 長年セキュリティ系の事業に従事。特に認証と暗号化を専門としている。 最近は楕円曲線暗号とSAML POSTバインディングを個人的テーマとして研究中。JIPDEC 客員研究員として企業の電子商取引の安全化にも努めている。harunobu.kameda@safenet-inc.com

ページトップへ