アカウント名:
パスワード:
書き込み不可のUSBメモリを使用しているとのことですので、バグ・脆弱性が発見された場合や、サーバ(セコムの仮想専用ネットワーク)側のシステム変更への対応などで必要となった場合に、新しいUSBメモリが郵送されることが想定されます。
従って、偽の「セコムの専用USB」を送り付けるというソーシャルエンジニアリングに弱いのではないでしょうか? 契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。
偽の「セコムの専用USB」には、Firefox ブラウザ [secom.co.jp]
契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。
それで、電子証明書の偽造は簡単なのですか?
使用可能な電子証明書を「偽造」することは、採用している規格に脆弱性が無い限り不可能です。電子証明書は、セコムのサーバにVPN接続する際に用いる為のものだと思われます。簡単に言うと、
【クライアントPC】 ⇔ (VPN接続 : ここで電子証明書を使う) ⇔ 【セコムのサーバ】 ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
といった感じです。
もし仮に、「セコムの専用USB」に記録されている電子証明書の内容が全顧客共通であれば、複製は容易です(全顧客同一ROMの方がコストを安くできます)。
顧客ごとに違う電子証明書であるとするならば、犯罪者は、セコムのサーバにVPN接続しないようにプログラムを書き換えて、
【改ざん済み Firefox】 (MITB付き) ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
とする必要があります。この場合も、ソーシャルエンジニアリングは成立します。
セコム プレミアムネット®(個人) [secom.co.jp]によれば、
簡単操作 お手持ちのパソコンに専用USBを接続し、パソコンの電源を入れるだけ。あとは今までどおりの操作でネットバンキングを利用できます。
と、セコムサーバにIDとパスワードを入れてログインする方式ではなさそうですので、VPN経由で無いことはばれにくいのではないでしょうか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
ソーシャルエンジニアリングに弱いので注意が必要 (スコア:5, すばらしい洞察)
書き込み不可のUSBメモリを使用しているとのことですので、バグ・脆弱性が発見された場合や、サーバ(セコムの仮想専用ネットワーク)側のシステム変更への対応などで必要となった場合に、新しいUSBメモリが郵送されることが想定されます。
従って、偽の「セコムの専用USB」を送り付けるというソーシャルエンジニアリングに弱いのではないでしょうか? 契約すれば誰でも「セコムの専用USB」や、それが郵送されてくるときの専用封筒などが手に入りますので、本物そっくりの「セコムの専用USB」を作ることは容易です(本物のUSBメモリを分解して、中のチップを他のものに入れ替えれば、USBメモリの外観もそっくりになります)。
偽の「セコムの専用USB」には、Firefox ブラウザ [secom.co.jp]
Re: (スコア:0)
それで、電子証明書の偽造は簡単なのですか?
Re:ソーシャルエンジニアリングに弱いので注意が必要 (スコア:2)
使用可能な電子証明書を「偽造」することは、採用している規格に脆弱性が無い限り不可能です。電子証明書は、セコムのサーバにVPN接続する際に用いる為のものだと思われます。簡単に言うと、
【クライアントPC】 ⇔ (VPN接続 : ここで電子証明書を使う) ⇔ 【セコムのサーバ】 ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
といった感じです。
もし仮に、「セコムの専用USB」に記録されている電子証明書の内容が全顧客共通であれば、複製は容易です(全顧客同一ROMの方がコストを安くできます)。
顧客ごとに違う電子証明書であるとするならば、犯罪者は、セコムのサーバにVPN接続しないようにプログラムを書き換えて、
【改ざん済み Firefox】 (MITB付き) ⇔ (普通の TLS/SSL) ⇔ 【金融機関のサーバ】
とする必要があります。この場合も、ソーシャルエンジニアリングは成立します。
セコム プレミアムネット®(個人) [secom.co.jp]によれば、
と、セコムサーバにIDとパスワードを入れてログインする方式ではなさそうですので、VPN経由で無いことはばれにくいのではないでしょうか?