Webブラウザを狙う中間者攻撃についてご存知ない方のためにまず説明しておこう。昔からあるMan-in-the-Middle(中間者)攻撃を,ずる賢くもWebブラウザ向けに特化させ,攻撃用コード(一般的にスクリプト対応プロキシ技術が使われる)をWebブラウザに仕掛ける攻撃手法が存在する。この攻撃を受けたWebブラウザは,最終的に中核機能を掌握され,送受信するデータが攻撃者に筒抜けとなり,好きなようにデータを操作されてしまう。
この種の手口は「Man-in-the-Browser(Webブラウザを狙う中間者)攻撃」と呼ばれ,2年前に初めて登場して以来,銀行を狙ったトロイの木馬で使われる例が増えてきている。
銀行の顧客に対する攻撃手段としてMan-in-the-Browser機能を実装している最近のマルウエアは,非常に高度化している。そのため,オンライン・バンキング時にWebブラウザ経由で顧客と銀行を直接やりとりさせるはずの既存の認証/認定プロセス(パスワードの入力やクイズへの回答など)は,事実上すべてくぐり抜けてしまう。攻撃者は,Man-in-the-Browser攻撃にソーシャル・エンジニアリング攻撃とWebアプリケーションの複雑なデザインを組み合わせれば,多因子アウト・オブ・バンド方式(Webアプリケーションで取引操作後に電話などインターネット以外の方法で本人確認を実施する方式)の認証システムさえ突破することができるのだ。
補足:筆者は2008年10月に開催されたセキュリティ会議「OWASP NYC AppSec 2008 Conference」で,銀行を狙う最新のトロイの木馬に関するプレゼンテーションを行った。その際の動画を掲載しておく。
攻撃手法がここまで高度化してしまった今,我々には何ができるのだろうか。スイスのチューリッヒにあるIBM Research研究所で活動している同僚が,とても優れた対策を考案してくれた。「ZTIC」でMan-in-the-Browser攻撃に対抗するのだ。
新技術「ZTIC」が登場
ZTIC(Zone Trusted Information Channel)は特殊なUSBセキュリティ・デバイスで,銀行と顧客間の安全な通信(および認定プロセス)を実現するために設計された(関連記事)。特に,マルウエアの感染した顧客のパソコンに通信を仲介させないようになっている。
オンライン・バンキング取引において,顧客用の認証プロセスとそれに続く認定プロセスの主要処理をWebブラウザに任せないようにすることで,銀行狙いのトロイの木馬(とそのMan-in-the-Browserプロキシ機能)による通信データの盗聴と改ざんを阻止する。さらにZTICの内部でSSL/TLSを処理して通信を暗号化し,秘密の通信が従来のMan-in-the-Middle攻撃でコピーされたり盗聴されたりしないようにする。
筆者がこの対策でとても気に入っているところは,見た目がよいうえに,オンライン・バンキング用アプリケーションが実行しようとしているどのような通信でもボタン一つで許可/禁止できる点だ。そのため,銀行の顧客は許可する取引をきちんと特定できる(これは極めて重要なポイントなので,上に掲載したOWASPのプレゼンテーションで確認してほしい)。
ZTICのもう一つの特徴は,スマートカードに対応している点だ。スマートカードを利用すればパスワードよりもずっと強力な認証プロセスを活用できる。
最後になるが,最初から安全を確保する目的で設計されているうえ,柔軟性の高いところもよいと思う。つまり,原則として同じ一つのデバイスを複数の銀行口座に使えるのだ(筆者自身がいくつも銀行口座を持っているので,口座ごとに別々の認証デバイスを鍵束のようにぶら下げるなど考えたくもない)。
筆者の利用している銀行が将来この新発明を導入してくれればよいと思う。(今やMan-in-the-Browser攻撃の敵でない)暗証番号を生成するデバイスや,デバイスごとにキーワード入力が必要で平均的な銀行利用者にとって複雑すぎるアウト・オブ・バンド認証システムは,あまり好みでない。
総論として,オンライン・バンキングの全体的な安全性がもう少し高まり,オンライン・バンキング用アプリケーションのMan-in-the-Browser攻撃耐性が向上してほしい(同攻撃において,ソーシャル・エンジニアリング攻撃が成功の鍵を握っている)。
もっとも,21世紀のガジェットを常に持ち歩くことを強いられる状況など,筆者は望んではいない。ただし,ZTICはオンライン・バンキング利用者が今日さらされている脅威に対抗する手段として,これまで見たなかで最も革新的な銀行向けセキュリティ技術だ。
Copyrights (C) 2008 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,Beating the Man-in-the-browser with a ZTICでお読みいただけます。
