銀行をオンラインで利用する場合にカード型端末で認証する理由

起業するとオンラインでの銀行振込み手続きが多くなると思います。
その際に電卓のようなカード型端末が銀行から支給される場合があります。
今回はこの端末がなぜ必要なのかを解説したいと思います。

カード型端末はMITB攻撃を防ぐため

メールなどではなく物理的に別端末でないと防げないサイバー攻撃があります。
それが 「MITB攻撃」(Man In The Browser:マン イン ザ ブラウザ)と呼ばれています。
読んで字のごとく「ブラウザの中に人がいる」攻撃手法です。

この攻撃はログインするときに2段階認証(多要素認証)を導入していても防ぐことはできません


MITB攻撃とは?

2008年に発見され、2012年にはヨーロッパで大規模な金融詐欺が発生した悪名高い攻撃手法です。
参考: マン・イン・ザ・ブラウザ – Wikipedia

MITB攻撃の第一段階はランサムウェアの感染です。
このランサムウェアに感染するとブラウザの制御が奪われます。
といっても普段は何もせず、特定の銀行をオンラインで利用するまで待機します。

そして、オンラインで銀行を利用し、振込み先と金額を入力し送信する際に別の口座番号と金額へ書き換えてしまいます。
ユーザーには入力内容をそのまま表示するため気付くことが出来ません。
銀行側も正規ルートの手続きであるため不正送金に気付きません。
さらにPCのブラウザ内で書き換えるため、SSLの最高認証レベルEV証明書を導入していても関係ありません。

このMITB攻撃の対策としてカード型端末が必要になってくるのです。


カード型端末の役割

ログインするときにワンタイムパスワードを生成する機能もありますが、この端末の本来の役割は振込み先を改竄する不正送金を防止するためのツールです。

振込み手続きをする際、口座番号と金額を入れたあとに口座番号をカード型端末に入力して数桁の確認番号を生成します。
この確認番号を「トランザクション署名」といいます。
口座番号から生成することがポイントです。
この確認番号を元に銀行側で振込み先がユーザーが入力したものと一致するか検証することができます。

確認番号生成は物理的に別端末でやる必要があります。
ランサムウェアに感染したPCで確認番号を生成すると、ランサムウェアがその番号を書き換えてしまう可能性があるためです。

そのためスマホで確認番号を生成するのはOKです。
(もちろんスマホがランサムウェアに感染してない前提ですが)


MITB攻撃は数ある攻撃手法の一つ

MITB攻撃による不正送金の被害は海外が主のようです。
ですが、これも数ある攻撃手法の一つでしかありません。

この手法を応用すると入力内容を自由に書き換えることができ、自分自身も相手も気付くことが出来ません。
これからの時代は送られてきたメッセージが本当に本人が送ってきたのか疑うことも必要になってくると思います。

このコラムは協議会メンバーが執筆しています。
情報発信したい方はお気軽に 事務局へ ご連絡ください。