パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セコム、USBメモリからブートして使うネットバンキング専用OSを発表」記事へのコメント

  •  書き込み不可のUSBメモリを使用しているとのことですので、バグ・脆弱性が発見された場合や、サーバ(セコムの仮想専用ネットワーク)側のシステム変更への対応などで必要となった場合に、新しいUSBメモリが郵送されることが想定されます。

     従って、偽の「セコムの専用USB」を送り付けるというソーシャルエンジニアリングに弱いのではないでしょうか? 契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。

     偽の「セコムの専用USB」には、Firefox ブラウザ [secom.co.jp]

    • by Anonymous Coward

       契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。

      それで、電子証明書の偽造は簡単なのですか?

      • それで、電子証明書の偽造は簡単なのですか?

        使用可能な電子証明書を「偽造」することは、採用している規格に脆弱性が無い限り不可能です。電子証明書は、セコムのサーバにVPN接続する際に用いる為のものだと思われます。簡単に言うと、

        【クライアントPC】 ⇔ (VPN接続 : ここで電子証明書を使う) ⇔ 【セコムのサーバ】 ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】

        といった感じです。

        もし仮に、「セコムの専用USB」に記録されている電子証明書の内容が全顧客共通であれば、複製は容易です(全顧客同一ROMの方がコストを安くできます)。

        顧客ごとに違う電子証明書であるとするならば、犯罪者は、セコムのサーバにVPN接続しないようにプログラムを書き換えて、

        【改ざん済み Firefox】 (MITB付き) ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】

        とする必要があります。この場合も、ソーシャルエンジニアリングは成立します。

        セコム プレミアムネット®(個人) [secom.co.jp]によれば、

        簡単操作
        お手持ちのパソコンに専用USBを接続し、パソコンの電源を入れるだけ。あとは今までどおりの操作でネットバンキングを利用できます。

        と、セコムサーバにIDとパスワードを入れてログインする方式ではなさそうですので、VPN経由で無いことはばれにくいのではないでしょうか?

        親コメント

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...