スラッシュドットに居るアレゲな方の多くは、ドメイン名や EV SSL 証明書などを確認するでしょうから、フィッシング詐欺に絶対に引っかからない自信があるでしょう。しかし、普段使っている自分のパソコンが100%マルウェアに感染していないという確証は掴めないと思います。今回の「トランザクション認証」の導入は、マルウェアによるMITB攻撃を防ぐことができるものなので、「パソコン初心者」から「セキュリティオタク」まで、幅広いユーザーにとって有益なものだと思います。決して、「いかにも素人考えのセキュリティ対策」ではありません。
バカをなめてはいけない (スコア:0)
正しいトランザクション認証ができるぐらいのITリテラシーがあるなら、そもそも不正送金被害にあわないだろw
カードの動作確認とか言われてホイホイ入力して、役にたたんだろうなw
Re: (スコア:-1)
みずほを始めとして日本の銀行はいかにも素人考えの"セキュリティ対策"をやるんだよな。
ダサピンク現象みたいにエンジニアが正しく設計したのを文民がぶっ壊すんだろうけど。まあ損するのはそいつらだからいいかw
「いかにも素人考えのセキュリティ対策」とは (スコア:4, 参考になる)
今回みずほ銀行が導入する「トランザクション認証」は、セキュリティトークンに振込先口座番号以外の数字を入力するという間違いさえ犯さなければ、下記の攻撃全てを防ぐことができる優れものです。
スラッシュドットに居るアレゲな方の多くは、ドメイン名や EV SSL 証明書などを確認するでしょうから、フィッシング詐欺に絶対に引っかからない自信があるでしょう。しかし、普段使っている自分のパソコンが100%マルウェアに感染していないという確証は掴めないと思います。今回の「トランザクション認証」の導入は、マルウェアによるMITB攻撃を防ぐことができるものなので、「パソコン初心者」から「セキュリティオタク」まで、幅広いユーザーにとって有益なものだと思います。決して、「いかにも素人考えのセキュリティ対策」ではありません。
「いかにも素人のセキュリティ対策」の典型としては、今までみずほ銀行がやってきた 「合言葉」による追加認証 [mizuhobank.co.jp] が挙げられます。3つも合言葉を覚えることになり利便性が著しく損なわれますから、「トランザクション認証」の利用を開始した顧客については無しにしていただきたいものです。
また、みずほ銀行のコンテンツページへのHTTPSでのアクセスのブロック [srad.jp] といった害でしかないような改悪も、素人考えのセキュリティ対策と言えます。
あと、あちこちの銀行が導入させている PhishWall [securebrain.co.jp] も「いかにも素人考えのセキュリティ対策」だと思います。EV SSL の確認方法の説明だけで十分であって、訳の分からんアプリケーションを導入させることに慣れさせる害の方が大きいと思います。
Re:「いかにも素人考えのセキュリティ対策」とは (スコア:2, 参考になる)
トランザクション認証自体は真っ当な発想で、正しく実装すれば安全性が改善するということを書かなかったのは間違いだった。謝る。
「トランザクション認証」は、セキュリティトークンに振込先口座番号以外の数字を入力するという間違いさえ犯さなければ、下記の攻撃全てを防ぐことができる
ここがキモで、三井住友に対する高木氏の指摘への返信 [twitter.com]にもあるポイント。顧客が詐欺に遭う時に「このトークンに口座番号を入力しないとか、他人の口座を打ち込ませるというのはおかしいぞ」と気づけば、あるいはトークンを無視して詐欺師が間違った認証コードを送れば、詐欺は失敗する。
しかし、詐欺師は自分に都合の良い説明を書きつけるのだから、「手順が変わった」「試験のためコードを入力する」「口座ではなくパスワードを入力する」などと言って騙す可能性がある。これを防ぐには本物のページに何を書いても駄目で、トークンを渡した時点から顧客に「これは口座番号を1回だけ入れるものだ」というように刷り込まないといけない。
日本の銀行はこの点で失敗を繰り返していて、本物のページにごてごてと注意喚起や指示を撒き散らし、手順を頻繁に変えたり複雑にしたりして、偽サイトで細部が異なっても気づかないようにしてきてしまった過去がある。これを繰り返さないでほしいと思って元コメを書いた。
Re:「いかにも素人考えのセキュリティ対策」とは (スコア:1)
なんでMITB対策ソフトとEV SSLの確認が同列で語られてるんだよ・・・
IEのMITBの場合はWinInet APIをフックしてAPIからブラウザにデータが渡る所で改ざんするから、MITBで改ざんされてもSSL証明書は正規のサイトの物が使われてるように見えるんだよ。
だからSSLの確認は全く意味がない。
EV SSL の確認だけでセキュリティ対策が十分だと思ってるのは、いかにも素人考えだと思います。
Re:「いかにも素人考えのセキュリティ対策」とは (スコア:2)
すみません。昔は PhishWall は単にドメイン名や証明書をチェックするだけのツール [takagi-hiromitsu.jp] だったので、今もそうだと思ってコメントしちゃいました。自分で貼った リンク先のページ [securebrain.co.jp] もよく読んでなかったんですが、下の方をよく見てみると、MITB 対策機能もあるようですね。Version 4.0 で実装された [securebrain.co.jp] ようです。
MITB攻撃用のマルウェアとその対策ソフトというのは、ウイルスとウイルス対策ソフトの構図と同様に「いたちごっこ」となりますが、確かにMITB対策として一定の効果はありそうです。(トランザクション認証の導入は、MITB対策ソフトと違い、MITBに対する根本的な防御策です)
Re: (スコア:0)
最近のガキってプロトコルが何もわかってなくて、上っしか見てない。
といってもここはスラドだしね。
やれやれ。
Re: (スコア:0)
SSL(の初めのやりとり)も今回のも、
思いもしないランダムな質問をして、答えさせる
ゼロ知識で、SSLは自動的になされるから、枝を
張られたり、目を盗まれたりする可能性があるが、
今度のは、人間が手ずからやるから、そうなり難い
のでは?
Re: (スコア:0)
人手なので操作する人間が正しく判断しなければいけない。画面に表示された指示にほいほい従えば何の効果もない。
例えばフィッシングサイトやウイルスが送金確認段階まで自動で進め、ユーザがそれを盲信して承認したら無駄。
Re: (スコア:0)
正誤ランダムに10回位、入力して
全部打ち終わってから答え合わせ
すれば、サーバー側の認証の代わりに
なるのでは?
今回はその第一歩とか。