アカウント名:
パスワード:
書き込み不可のUSBメモリを使用しているとのことですので、バグ・脆弱性が発見された場合や、サーバ(セコムの仮想専用ネットワーク)側のシステム変更への対応などで必要となった場合に、新しいUSBメモリが郵送されることが想定されます。
従って、偽の「セコムの専用USB」を送り付けるというソーシャルエンジニアリングに弱いのではないでしょうか? 契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。
偽の「セコムの専用USB」には、Firefox ブラウザ [secom.co.jp]などのソフトウェア部分を書き換えたイメージを入れておれば MITB(Man-In-The-Browser Attack)攻撃 [nikkeibp.co.jp] も可能です。これにより、正規の振込時に振込先・金額をリアルタイムで書き換えることが可能ですので、ワンタイムパスワード(トークン)を採用している金融機関から不正振込させることも可能です。
日本の金融機関のインターネットバンキングはセキュリティ対策で遅れをとっており、海外の金融機関では対応しているのが常識の MITB攻撃を100%防げるトランザクション署名 [ftsafe.co.jp] に対応している国内金融機関は1行もありませんから、攻撃は容易と言えます。
(金融機関のサーバに対してEnd-To-End方式のSSL通信を行っているのではなく、セコムのサーバがSSLのセッションを金融機関に張る仕組みであったとしても、「偽USB」ならばその部分も書き換えることが可能であることから、攻撃は防げません)
「セコム プレミアムネット」の契約者は、預金額が高額であることが推定されますので、契約者を狙う上記の手口は、最近流行している振り込め詐欺(既に振込じゃないですが)の手口である、「バイク便業者や直接代理人を自宅に向かわせ、現金を手渡しさせたり、定形小包郵便物(通称「エクスパック500」)による送付等の受け渡し方法を指定してくる場合」(引用元 [tokyo.jp])よりも、詐欺師にとって、ローリスク・ハイリターンであると思います。
契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。
それで、電子証明書の偽造は簡単なのですか?
使用可能な電子証明書を「偽造」することは、採用している規格に脆弱性が無い限り不可能です。電子証明書は、セコムのサーバにVPN接続する際に用いる為のものだと思われます。簡単に言うと、
【クライアントPC】 ⇔ (VPN接続 : ここで電子証明書を使う) ⇔ 【セコムのサーバ】 ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
といった感じです。
もし仮に、「セコムの専用USB」に記録されている電子証明書の内容が全顧客共通であれば、複製は容易です(全顧客同一ROMの方がコストを安くできます)。
顧客ごとに違う電子証明書であるとするならば、犯罪者は、セコムのサーバにVPN接続しないようにプログラムを書き換えて、
【改ざん済み Firefox】 (MITB付き) ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
とする必要があります。この場合も、ソーシャルエンジニアリングは成立します。
セコム プレミアムネット®(個人) [secom.co.jp]によれば、
簡単操作 お手持ちのパソコンに専用USBを接続し、パソコンの電源を入れるだけ。あとは今までどおりの操作でネットバンキングを利用できます。
と、セコムサーバにIDとパスワードを入れてログインする方式ではなさそうですので、VPN経由で無いことはばれにくいのではないでしょうか?
電子証明書を使って、本物のサーバーに接続する必要とかあるんですか?
法人系の銀行はそういう仕様ところが多い
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
ソーシャルエンジニアリングに弱いので注意が必要 (スコア:5, すばらしい洞察)
書き込み不可のUSBメモリを使用しているとのことですので、バグ・脆弱性が発見された場合や、サーバ(セコムの仮想専用ネットワーク)側のシステム変更への対応などで必要となった場合に、新しいUSBメモリが郵送されることが想定されます。
従って、偽の「セコムの専用USB」を送り付けるというソーシャルエンジニアリングに弱いのではないでしょうか? 契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。
偽の「セコムの専用USB」には、Firefox ブラウザ [secom.co.jp]などのソフトウェア部分を書き換えたイメージを入れておれば MITB(Man-In-The-Browser Attack)攻撃 [nikkeibp.co.jp] も可能です。これにより、正規の振込時に振込先・金額をリアルタイムで書き換えることが可能ですので、ワンタイムパスワード(トークン)を採用している金融機関から不正振込させることも可能です。
日本の金融機関のインターネットバンキングはセキュリティ対策で遅れをとっており、海外の金融機関では対応しているのが常識の MITB攻撃を100%防げるトランザクション署名 [ftsafe.co.jp] に対応している国内金融機関は1行もありませんから、攻撃は容易と言えます。
(金融機関のサーバに対してEnd-To-End方式のSSL通信を行っているのではなく、セコムのサーバがSSLのセッションを金融機関に張る仕組みであったとしても、「偽USB」ならばその部分も書き換えることが可能であることから、攻撃は防げません)
「セコム プレミアムネット」の契約者は、預金額が高額であることが推定されますので、契約者を狙う上記の手口は、最近流行している振り込め詐欺(既に振込じゃないですが)の手口である、「バイク便業者や直接代理人を自宅に向かわせ、現金を手渡しさせたり、定形小包郵便物(通称「エクスパック500」)による送付等の受け渡し方法を指定してくる場合」(引用元 [tokyo.jp])よりも、詐欺師にとって、ローリスク・ハイリターンであると思います。
Re: (スコア:0)
それで、電子証明書の偽造は簡単なのですか?
Re:ソーシャルエンジニアリングに弱いので注意が必要 (スコア:2)
使用可能な電子証明書を「偽造」することは、採用している規格に脆弱性が無い限り不可能です。電子証明書は、セコムのサーバにVPN接続する際に用いる為のものだと思われます。簡単に言うと、
【クライアントPC】 ⇔ (VPN接続 : ここで電子証明書を使う) ⇔ 【セコムのサーバ】 ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
といった感じです。
もし仮に、「セコムの専用USB」に記録されている電子証明書の内容が全顧客共通であれば、複製は容易です(全顧客同一ROMの方がコストを安くできます)。
顧客ごとに違う電子証明書であるとするならば、犯罪者は、セコムのサーバにVPN接続しないようにプログラムを書き換えて、
【改ざん済み Firefox】 (MITB付き) ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
とする必要があります。この場合も、ソーシャルエンジニアリングは成立します。
セコム プレミアムネット®(個人) [secom.co.jp]によれば、
と、セコムサーバにIDとパスワードを入れてログインする方式ではなさそうですので、VPN経由で無いことはばれにくいのではないでしょうか?
Re: (スコア:0)
電子証明書を使って、本物のサーバーに接続する必要とかあるんですか?
Re: (スコア:0)
法人系の銀行はそういう仕様ところが多い
Re: (スコア:0)