［CRYPTO-GRAM日本語版］銀行と二因子認証

2005.12.15

Bruce Schneier　

「CRYPTO-GRAM　November 15, 2005」より

　私は「二因子認証を採用しても攻撃者に回避されるだけなので，フィッシングの防止にはつながらない」と繰り返し主張してきた。この主張の正しさを証明する実例がある。ニュース記事を引用しよう。

　「先週，北欧を拠点とする銀行Nordea社は，紙に印刷されたワンタイム（使い捨て）パスワードを使うセキュリティ・システムがフィッシング攻撃を受けて，12時間もWebバンキング・サービスの停止を強いられた」

　「報道によると，Nordea Sweden社のWebバンキング・サイトは，紙に印刷したパスワードを1回ごと使い捨てにするセキュリティ・システムを導入しており，このフィッシングは同サイトの利用者を狙ったものだという」

　「セキュリティを手がけるフィンランドF-Secureのブログには，以下のように記載されている。このフィッシングの発端となるスパム・メールの受信者は，偽のWebサイトに誘導され，ユーザー・アカウントの詳細情報を入力されるよう求められる。さらに，銀行発行の“スクラッチ・カード”に印刷されたワンタイム・パスワード一覧から，次に使うパスワードも一緒に入力するよう指示される」

　F-Secure社のブログには，以下の解説がある。

　「詐欺メールには，Nordea社が新しいセキュリティ対策を導入すると書かれており，そのシステムにはwww.nordea-se.comまたはwww.nordea-bank.netでアクセスできるとあった（いずれも韓国にサーバーのある偽サイトだった）」

　「偽サイトは本物と見分けがつかないほどよく似ていた。サイトにアクセスすると，ユーザーに割り振られた番号とアクセス・コード，次に使うパスワードの入力が求められた。ところが，どのように入力しても，パスワードが間違っているとのエラー・メッセージが出て，さらに次のパスワードを入力してみるよう指示される。実際には，悪人が自分たちで使うためのパスワードをいくつも入手しようとしていたのだ」

　身元情報の窃盗は認証の問題ではないので，二因子認証では防げない。身元情報窃盗は，トランザクション（取り引き）セキュリティの問題だ。これについては以前書いた。この問題を解決するにはトランザクションを直接修正する必要がある。そのためには，複数の手段を組み合わせることになるだろう。その結果，手順が面倒になるトランザクションも出てくる。新しいクレジットカードを作るよりも面倒なことは間違いない。不正な取り引きパターンを見つけるために，バックエンド・システムを導入することになる。クレジットカードのセキュリティを調べてみれば，身元情報窃盗の問題を解決するヒントがみつかるだろう。

　残念ながら，金融機関が身元情報窃盗で受ける直接的な被害だけでなく，すべてについて責任を負わない限りこの種の解決策が導入される見込みはない。このことについても，以前書いたことがある。

　こうした対策は，クレジットカードでは導入済みだ。米連邦議会がクレジットカードを扱う銀行に対して，不正取引の損害のうち50ドルを超える分についてすべて責任を負うよう命令したからだ。

ニュース記事：
＜http://www.finextra.com/fullstory.asp?id=14384＞
＜http://www.theregister.co.uk/2005/10/12/...＞

F-Secure社のブログ：
＜http://www.f-secure.com/weblog/archives/...＞

　次のような関連記事がある。ニュージーランドのBank of New Zealandがフィッシングの懸念からインターネット・バンキングを停止した。フィッシングの脅威を深刻に受け止めている企業が存在するのだ：
＜http://www.stuff.co.nz/stuff/0,2106,3450674a13,00.html＞

　一方米国政府は，国内の銀行に二因子認証を義務付けようとしている：
＜http://banktech.com/news/showArticle.jhtml?...＞
＜http://www.ffiec.gov/press/pr101205.htm＞

◆オリジナル記事「Banks and Two-Factor Authentication」
◆「CRYPTO-GRAM　November 15, 2005」
◆「CRYPTO-GRAM　November 15, 2005」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ

◆この記事は，Bruce Schneier氏の許可を得て，同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は，「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO（最高技術責任者）です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり，国内ではインテックと提携し，監視サービス「EINS/MSS+」を提供しています。