Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「セキュリティ対策」の「安心感」につけ込まれる可能性

セキュリティ対策の実施は、より安全な環境をもたらす。当然といえば当然の話だが、そこに生まれる「慢心」や「油断」が、むしろ攻撃者のターゲットになってしまうケースも存在している。

今週RSAセキュリティは、メディア向けに説明会を実施し、ここ数カ月のスパンに携帯端末でワンタイムパスワード認証を行う金融機関を対象とした攻撃が発生していることを明らかにした。現在わかっている件数や被害のボリュームは大したものではないが、ヨーロッパを中心に複数の国や地域で攻撃が確認されているという。

攻撃の手口としては、スパムメールを利用者に送りつけ、フィッシング詐欺サイトへユーザーを誘導。サイト上でアカウント情報を入力させ、窃取した情報をもとに攻撃者が本物のサイトへアクセスし、不正送金する「中間者攻撃」だ。従来と異なる点としては、さらに利用者へ携帯電話にSMSで送信される「ワンタイムパスワード」の入力まで行わせていた点が挙げられる。

今回、携帯電話のSMS利用者が狙われたが、別経路で提供されたパスワードを窃取する攻撃が影響を及ぼすのは、なにも携帯電話に限定された話ではない。利用者が情報を入力して認証を行うシステムであれば、トークンやパスワード表を利用した認証なども、同様の危険にさらされる。

(Security NEXT - 2010/07/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

ネットバンクの不正送金、9月に急増 - 2要素認証も突破か
「Chrome 78」がリリース、セキュリティ修正は37件 - 「XSS Auditor」を削除
「オフィス宅ふぁいる便」が機能強化 - 最大3Gバイトまで送信可能に
2018年の不正送金被害は大幅減 - 法人で1割以下に
「第一暗証はワンタイムパスワードではございません」 - 三井住友銀かたるSMSに注意
OTPトークン盗み不正アクセス、奈良県職員が懲戒免職
「STOP!パスワード使い回し!キャンペーン」がスタート - 賛同企業も募集中
IIJのOTPアプリに認証回避の脆弱性 - Android版のみ影響
デジタルアーツ、ブラウザ閲覧に対応した「FinalCode 5.4」をリリース
Windows向けにスマホを利用する独自のOTPソフト - パスロジ