単純なワンタイムパスワード生成トークンより、操作によっては入力する手間が増えるが、ユーザーは自分が何を入力しているかを理解した上で操作しているため、ソーシャルエンジニアリングに対して最も有効な対策である。また、未知の攻撃手法に対しても、組み込まれているさまざまな署名パターンを有効活用することにより、長期的に同じシステムでセキュリティを確保できるであろう。
電子証明書(PKI)の課題
現在、国内の法人口座のインターネットバンキングには電子証明書(PKI)をブラウザに格納し、インターネットバンキングのログイン用に利用するのが基本パターンとなっている。2013年から日本国内で多発している攻撃は、この電子証明書を盗み、不正振込を行うものである。
それを受けて2014年5月には全銀協が法人口座のインターネットバンキングに関する指針を発表し、電子証明書をICカードなどのPCとは別の媒体に格納することや、ワンタイムパスワード(トークン生成器、Eメール通知など)により、トランザクション認証の強化が推奨されている。
一見、明確な指針と読めるが、電子証明書(PKI)とワンタイムパスワードを併用しているケースは世界でもほとんどなく、唯一併用している韓国では認証用にワンタイムパスワードを、トランザクションの正当性を担保するために電子証明書(PKI)を利用し、電子署名法にも準拠している。
過去には電子証明書(PKI)のみを利用していたが、ブラウザに電子証明書(PKI)を格納していたため、日本と同様にアカウントの乗っ取り事件があり、ログイン用パスワードを動的なパスワード(ワンタイムパスワード)に変更したという背景がある。
電子証明書(PKI)の技術は、認証および電子署名により取引内容の証明を行うという技術である。ただし、ブラウザに電子証明書(PKI)を格納するのは、セキュリティを確保するという観点からはお薦めできることではなく、ICカード又はUSBトークンに格納するのが常識的なセキュリティ対策であるため、全銀協の指針は正しい。
しかし、電子証明書(PKI)を利用するのであれば、同じ技術でトランザクション署名もできること、そして外部媒体を利用していても成功した攻撃の一例を紹介し、そしてその対策について解説したい。
外部媒体化だけでは足りない
日本よりサイバー攻撃対策が進んでいる欧州では、攻撃のレベルもより高度に進化している。2013年12月、欧州の主要銀行で2週間の間に200万ユーロもの不正振込が発生するという大きな事件が起こった。
これらの銀行は、セキュリティが非常に高いといわれるICカードに格納された電子証明書(PKI)でログイン認証を行い、取引内容にはトランザクション署名(デジタル署名)を利用するという、高度なセキュリティ対策を講じていた。このセキュリティ対策は導入されてから10年以上、今回の攻撃までは不正送金による被害は全くなかったのだ。
