MITBとシンガポールと番号制度 | 浅慮相乗のブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

浅慮相乗のブログ

このブログの内容は私が所属する/した、いかなる組織とも関係ありません。
Twitter ID @senryoAIIT と同じ人間が書いています。

MITBとシンガポールと番号制度

こんなのをトゥギャってみました。

MITB、MITMと不正送金ー@HiromitsuTakagi 氏のツイートを軸として - Togetterまとめ
http://togetter.com/li/721770

@HiromitsuTakagi氏による一連のツイートの発端はこれらの記事です。

「ワンタイムパスワード」破る…送金先口座凍結 : IT&メディア : 読売新聞(YOMIURI ONLINE)
http://www.yomiuri.co.jp/it/20140916-OYT1T50063.html

ログインしただけで不正送金 新型ウイルス国内で検出 - 朝日新聞デジタル
http://www.asahi.com/articles/ASG9J3Q7VG9JULFA00F.html

時事ドットコム:大手銀の52口座凍結=ネットバンク不正送金で-警視庁
http://www.jiji.com/jc/zc?k=201409/2014091600744&g=soc

MITB(Man-In-The-Browser)攻撃でワンタイムパスワードによる防御が回避されてしまったということのようです。MITBについてはこちらが分かり易いかと。

"MITB(Man-In-The-Browser)攻撃とは、Webブラウザーで銀行の手続きを実行するオンラインバンキングの情報を盗聴したり、不正操作したりする攻撃を指す。攻撃者はウイルスを使って偽の画面を作り出し、不正操作に必要な情報を入力させたり、通信の内容を改ざんして不正送金を実行したりする。"
MITB攻撃
http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/071400001/

似たような言葉でMITM(man in the middle)攻撃というのがあります。こちらは通信の途中に割り込んで通信内容をのぞき見したり、抜き取ったり、偽情報を流したりします。

man in the middle攻撃(中間者攻撃)
http://itpro.nikkeibp.co.jp/article/COLUMN/20070109/258271/

ワンタイムパスワードはMITB攻撃にはいまいち効かないということは2009年頃から言われていたようです。

「ワンタイムパスワードでも防げない」、ブラウザーの乗っ取りが急増
http://itpro.nikkeibp.co.jp/article/NEWS/20090930/338084/

従来のオンラインバンキング被害は被害者のアカウント情報やパスワードを盗み、それを使っていわば被害者になりすまして預金等を詐取するものが多かったようです。このような攻撃に対してはアカウントへのログイン時に動的にパスワードを変えるワンタイムパスワードが有効でした。しかしMITBの場合、自分のブラウザ自身が汚染され、被害者が正規にアカウントにログインした後に偽の送金先等を表示する等、を検知することが難しいので、いくらパスワードを使い捨てにしても取引自体の乗っ取りは防げないということのようです。

そこでトークンを利用してログイン後に送信された情報が正当なものかどうかを検証する方法が注目されているようです。

産総研高木氏の提案、試作機によるデモも:本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を - @IT
http://www.atmarkit.co.jp/ait/articles/1404/04/news110.html

産業技術総合研究所
第2回セキュアシステムシンポジウム 2014年3月13日
Man-in-the-Browserの脅威と根本的な解決策
https://www.risec.aist.go.jp/files/events/2014/0313-ja/risec-sympo2014-takagi.pdf

まとめている間、私の頭に引っかかっていたものがありました。

"シンガポール事例を聞いても報じられないのは、なぜそれで解決なのか理解できるまでの説明を受けてないからだろうね。"
https://twitter.com/HiromitsuTakagi/status/512422386050691073

「シンガポール事例?なんですか、それ?」

仕方がないのでお手紙書いた、じゃなくて「ワンタイムパスワード」と「シンガポール」をキーワードにググってみました。出てきた中で分かり易かったのがこれ。

山崎文明のセキュリティコラム 第21回 内閣官房への提言
http://ameblo.jp/biz-assure/entry-10648163100.html

マイナンバーカードとこちらのコラムでは記述されていますが、これはおそらくマイナンバーの「通知カード」ではなく、「個人番号カード」のことでしょう。かわいいうさぎのマイナちゃんに聞いてみましょう。

[引用開始]
平成27年10月に、皆様にマイナンバーを通知するための通知カードが配布されます。
また、平成28年1月以降には、様々なことに利用出来る個人番号カードが申請により交付されます。

■通知カード
  通知カードは、紙製のカードを予定しており、券面に氏名、住所、生年月日、性別(基本4情報)、マイナンバーが記載されたものになります。
  通知カードは全ての方に送られますが、顔写真が入っていませんので、本人確認のときには、別途顔写真が入った証明書などが必要になります。

■個人番号カード
  個人番号カードは、券面に氏名、住所、生年月日、性別、マイナンバーなどが記載され、本人の写真が表示されます。平成27年10月に通知カードでマイナンバーが通知された後に、市区町村に申請すると、平成28年1月以降、個人番号カードの交付を受けることができます。
  個人番号カードは、本人確認のための身分証明書として利用できるほか、カードのICチップに搭載された電子証明書を用いて、e-Tax(国税電子申告・納税システム)をはじめとした各種電子申請が行えることや、お住まいの自治体の図書館利用証や印鑑登録証など各自治体が条例で定めるサービスにも使用できます。
[引用終了]
マイナちゃんのマイナンバー解説
カードが配布されるの?使い道は?
http://www.cas.go.jp/jp/seisaku/bangoseido/gaiyou.html#m5

現在の住基カードと似ていますね。個人的な関心事として「自治体の図書館利用証」というものに引っかかるのですが、これはまた別のエントリで。

電子申請を自宅からweb経由で行う場合、オンラインバンキングと同様、MITBの脅威があるわけです。だったら個人番号カード裏面に電子ペーパーを貼り付けて署名内容を表示し確認できるようにしてはどうかというのが山崎文明氏のコラムの半年前に発表された産業技術総合研究所の提案です。

まとめ始めは実のところ、なんでこんなに延々とやってるんだろうな(失礼)と思ってましたが、電子申請とマイナンバーと聞いた途端、現金なもので真面目に参考資料を漁る始末。

いや、やっぱり引っかかったことを調べるのは面白いとしみじみ感じたのでした。