米IBMのチューリッヒ研究所は現地時間2008年10月29日,パソコンを利用したオンライン・バンキングを安全に行うためのUSB機器「Zone Trusted Information Channel(ZTIC)」(写真)のプロトタイプを開発したと発表した。パソコンがウイルスやトロイの木馬などのマルウエアに感染した場合でも,銀行サーバーとのあいだで安全な接続を確立し,取引を進められるという。
ZTICはUSBメモリ大の機器。小型画面と「OK/キャンセル」ボタン,オプションのスマートカード・リーダーを搭載し,SSL/TLSプロトコルや暗号化アルゴリズムを処理する機能や,Webブラウザとの仲立ちとなるプロキシ機能を内蔵している。
ユーザーはパソコンのUSBポートにZTICを差し,Webブラウザ上の操作とZTICの操作を組み合わせてオンライン・バンキングの取引を行う。例えば振り込みを行う場合,Webブラウザ上で相手口座や金額を指定した後,ZTICの画面上で情報が正しいかを確認したうえで,OKボタンを押して振り込みを完了する。
銀行サーバー間とのSSL/TLSセッションはZTICが処理し,安全な接続を直接確立する。Webブラウザとサーバーとの通信もすべてZTIC経由で行う。パソコン単体の場合,マルウエアに感染していると,不正なサーバーに接続されたり,ブラウザ上で指定したものと異なる相手に勝手に送金されてしまうことがあるが,ZTICの場合,正しいサーバーと確実に接続され,送金情報をZTIC上で直接確認できるため,被害を未然に防げるという。
ZTICは,サーバー側とパソコン側のいずれのソフトウエアも変更ぜずに利用できるように設計した。家庭で使われる主要なオペレーティング・システムすべてに対応しているという。すでにパイロット版の機器を銀行試用向けに提供できる状態だとしている。
[発表資料へ]
