IPA、ネットバンキングのOTPを破る新たな手口について注意を呼びかけ
IPA、ネットバンキングのOTPを破る新たな手口について注意を呼びかけ
独立行政法人情報処理推進機構(IPA)は、インターネットバンキングの不正送金について、これまで有効とされていたワンタイムパスワード(OTP)を破る新たな手口が出現しているとして注意を呼びかける文書を発表した。
インターネットバンキングの不正送金の基本的な手口は、利用者のPCをウイルスに感染させることで不正なポップアップを画面に表示させて、IDやパスワード、暗証番号、乱数表、合言葉を盗み取る流れとなっている。従来の手口はIDやパスワード、乱数表、合言葉などの固定の認証情報をすべて盗み取る手口で、これらの手口への有効な対策は、固定の認証情報でない都度使い捨てのパスワード(OTP)を用いる認証を利用することだった。
しかし、新たな手口では、固定の認証情報を盗み取る機能に加えて、Webメールサービスのログイン情報を盗み取る機能を持っており、そのために、メールで受け取るタイプのOTPを利用して、その受信をWebメールに設定している場合には、認証が破られてしまう可能性がある。攻撃者はOTPを盗み取ることにより、利用者に気付かれないうちに不正なログインや送金などが可能となる。
なお、OTPにはハードウェアトークンによるOTP生成器や携帯電話/スマートフォンのソフトウェア(アプリ)トークンによるOTP生成器もあり、これらは今回の攻撃に対して安全としている。
このほか今回の攻撃にへの対策としては、「使用しているPCのOSやアプリケーションなどの脆弱性を解消する」、「セキュリティソフトを導入する」、「乱数表・合い言葉などをすべて入力しない」といった対策に加えて、「OTPの受け取り先を携帯電話のメールアドレスに設定する」ことや、「メール通知サービスを携帯電話宛に設定する」、「ブックマークやバンキングアプリを利用する」といった方法を挙げている。