CA Technologiesは2013年7月3日、オンラインバンキングでの不正送金に使われる攻撃「MITB(Man in the browser)」に対抗する認証ソフトウエア「CA AuthMinder7.1」の国内販売を始めた。
CA AuthMinderは、ソフトウエア証明書やワンタイムパスワード(OTP)などの二要素認証を実現するソフトウエア製品。最新版の「7.1」では、「セキュア・トランザクション・サイニング」と呼ぶMITB対抗の機能を加えた。
MITB攻撃とは、パソコンに侵入したマルウエアがWebブラウザーの入出力を改ざんし、不正送金を行うサイバー攻撃を指す。正規の認証プロセスを乗っ取っているため、一般的なOTPなどの二要素認証では防ぐことができない。
セキュア・トランザクション・サイニングは、スマートフォンなどパソコンとは異なる通信チャネルを利用するアウトオブバンド認証の一種である。利用者はまず、パソコンのWebブラウザーでオンラインバンキングサイトにアクセスし、送金口座、送金額などの取引情報を入力する。その後、証明書を導入済みのスマートフォンで専用サイトにアクセスし、送金額などの取引情報を改めて入力すると、その情報が埋め込まれたワンタイムパスワードを受け取れる。このワンタイムパスワードで署名した取引情報を、パソコンのWebブラウザーから送信する。仮に、パソコンに感染したマルウエアが取引情報を改ざんしていた場合は、ワンタイムパスワードに埋め込まれた取引情報と一致しなくなるため、改ざんの事実を検出できる。
このほか、リスクベース認証の機能を提供する「CA RiskMinder 3.1」の出荷も合わせて開始する。いずれの製品も、参考価格は1万ビジネスユーザー当たり1950万円。
