2011年01月21日

新手のフィッシング詐欺であるMITM攻撃やMITB攻撃を遮断できる技術ってどんなの?

通信セッションを横取りして本人になりすます詐欺犯罪手法の1つである中間者(MITM)攻撃やマン・イン・ザ・ブラウザ(MITB)攻撃は、既存の認証方法では防ぐ術がないとされていたが、以下の電波新聞の記事(1/19付)によるとそれを防止できるそうである。

インターネットオークションやネットバンキング、ネット通販などを利用する際に、自身の個人情報が他人に盗まれる可能性があることをどれだけ認識しているだろうか。実はこうした危険が、我々の生活の中に入り込んできている。擬似サイトに誘導してIDやパスワードを盗む「フィッシング詐欺」の09年の検挙件数が、前年比46%増と一気に増えている。最近は、個人情報の保護やセキュリティに対する認識は高まりつつあるが、昨今は、さらに高度で防御不能なフィッシング詐欺が出現しているという。

偽サイトに誘導して情報を盗む従来のフィッシング詐欺であれば、その都度1回限りのパスワードを発行するワンタイムパスワードで対応ができた。しかし、ここにきて中間者(MITM)攻撃やマン・イン・ザ・ブラウザ(MITB)攻撃と呼ぶ新手の詐欺が米国などで出現している。MITM攻撃は、利用者が接続している取引の接続を中間で横取りし、リアルタイムに改ざんする。MITB攻撃は、パソコン自体を乗っ取り、取引内容を改ざんするため、ワンタイムパスワードでは対応できない。

「どんなに強力な認証を導入していても事実上、攻撃を防げない」と日本ユニシス総合技術研究所先端技術部の八津川直伸上席研究員は話す。これらの攻撃は、既に米国などで被害の報告が挙がっている。また日本での被害報告は公になっていないが、こうした危険な攻撃は、いつやってきてもおかしくない状況であることから、日本ユニシスで抜本的な解決ができるセキュリティの開発を進めている。同社の特許技術である独自のワンタイムパスワードとUSBトークンを使うことで、常に攻撃経路を監視する。

「これにより、確実に攻撃を遮断できる」(八津川氏)という。ただ、日本での具体的な被害が挙がってきていないことから、日本企業では、MITM/MITB攻撃への対策の意識が高くないのも事実。今後、確実に増えるとみられるこれらの攻撃にも目を向ける必要がありそうだ。


posted by ダンケルク at 23:27| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。