アカウント名:
パスワード:
スパイウェアが入ってるならその時点でもうアウトだと思うんですが。 乗っ取ったマシン上ではぶっちゃけ何でもできるわけだから、例えば、
ユーザが銀行サイトにログインし、振込みなどの操作を行うのを待ち構えて、その操作をした瞬間に便乗して(=正規の手順でログインした状態で)自分の口座への送金処理をバックグラウンドでやる
一定のレベルまで認証などを強化することは、カジュアルなアタックを防ぐという意味から当然必要ですが、そこから先はむしろスパイウェアとかフィッシングサイトに引っかからないよう啓蒙する、というレベルの話になってくるのではないかと。
その攻撃、1回目は成功する可能性がありますが、2回目以降はジャパンネット銀行などのSecurID採用サイトでは比較的困難ですね。
技術に疎い人はそう思っちゃうんだろうけど、ぜんぜん困難じゃない。中継して一部を書き換えるだけ。 詳しくは以下をどうぞ。フィッシングの例で書かれてますが、スパイウェアも同じこと。
対策にならないフィッシング対策がまたもや無批判に宣伝されている [takagi-hiromitsu.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
各銀行の駄目出しをしてみる (スコア:5, 興味深い)
彼曰く”僕は怖いから(ネットバンキング利用可能な)登録しませんよ。”と。
そこらへんにすべてが集約されているのだと思います。
以前のパスワードひとつの新生銀行などはやられ放題でしたし、乱数表をつかっている銀行も大したことない
と思います。
特に住友信託銀行、ひどいですね。乱数表からの数字がログインや試行のたびに要求されるのですが、要求
されるのは乱数表10個のうちの2個。
しかも乱数は10個しかないうちの小さい順に2つという組み合わせなので、スパイウェアが入ったPCなら
あっというまに
Re: (スコア:1)
>あっというまに乱数全部ばれてしまいます。
スパイウェアが入ってるならその時点でもうアウトだと思うんですが。
なんて攻撃がありえます。これをやられたらどれだけ認証手段を強化しても無意味。乗っ取ったマシン上ではぶっちゃけ何でもできるわけだから、例えば、
一定のレベルまで認証などを強化することは、カジュアルなアタックを防ぐという意味から当然必要ですが、そこから先はむしろスパイウェアとかフィッシングサイトに引っかからないよう啓蒙する、というレベルの話になってくるのではないかと。
Re: (スコア:0)
サイトでは比較的困難ですね。そのために、他にもメール通知や一日あたりの御利用限度額、未登録先
への御利用限度額設定などのより多層の防護があるわけです。
ジャパンネット銀行は日本のネット銀行の中では比較的進んでいる方かと思います。
もちろん、ユーザーへの啓蒙は必要です。しかし、それだけでは精神論に過ぎませんね。
電気機器の防水処理の設計を行う際、”機器の内側に水を一滴も入れない”という思想と”万一多少
入っ
Re: (スコア:0)
技術に疎い人はそう思っちゃうんだろうけど、ぜんぜん困難じゃない。中継して一部を書き換えるだけ。
詳しくは以下をどうぞ。フィッシングの例で書かれてますが、スパイウェアも同じこと。
対策にならないフィッシング対策がまたもや無批判に宣伝されている [takagi-hiromitsu.jp]
Re:各銀行の駄目出しをしてみる (スコア:0)
あなたの示すURLにジャパンネット銀行の件が書いてありましたか?
SecurIDの脆弱性が書いてありましたか....。
1度目が成功しても2度目が成功しないという意味を把握できていますか?
Man In the Middle Attackの成功の可能性を否定していないんですよ。素人の揚げ足取りは困ります(笑)。