知らなきゃコワくて使えない ネット銀行安心の新常識(前編)
/ SAFETY JAPAN [特集] / 日経BP社
知らなきゃコワくて使えない ネット銀行安心の新常識(後編)
/ SAFETY JAPAN [特集] / 日経BP社
という記事より。
結構古い記事ですが、勉強になるのでエントリー。
パソコンや携帯電話から利用できるインターネット銀行。
便利ですので私も使っています。
わざわざ振込に行かなくてもいいし、残高確認もいつでもできます。
仕事の入金確認も手の空いた時間でできるので重宝しています。
そんな便利なネット銀行ですが、セキュリティ面ではいろいろと気をつけないといけない部分もあるようです。
ちょっとお勉強しておきましょう。
詳細は以下
パスワードはこうして盗まれる
パスワードを不正に取得される主な経路
(1)不正プログラムの侵入を許す
(2)フィッシング詐欺などのインターネット詐欺にだまされる
(3)メモの盗み見や知人による盗難などずさんなパスワード管理
(1)(2)は「トロイの木馬」系のスパイウェアなどから。
メールの添付ファイルを実行すると侵入、
“パスワードなどのキー入力操作を記録してネット経由で犯人に送信”してしまうもの。
これまでは不特定多数に向けた”既製品”プログラムが多かったが、最近では”特注”プログラムもあるらしい。
(3)は古典的な手法。
“不正プログラムなどよりも管理ミスによる事件の方が多い”
キーロガーの問題
キーロガーとは、
“キー操作記録のみならず、パソコン画面を画像(スクリーンショット)として保存したり、検索サイトで入力した単語やネットサーフィンの履歴まで記録できる。”
というもの。
キーロガー対策 銀行側の対応
・乱数表
・ソフトウエアキーボード
など
しかし、”スクリーンショットなどを併用する不正プログラムには無力”
メール対策
不正プログラムの侵入を防ぐことに重点をおかなければならない。
・フィッシング詐欺
“実在する金融機関などをかたってユーザーに偽のメールを送り付け”、ログインを誘って個人情報を入力させるもの。
偽サイトの画面デザインや文面が「本物っぽい」ので注意が必要。
・ファーミング詐欺
例はまだ少ないものの、フィッシング詐欺の進化形ともいえる、ファーミング詐欺という手口も登場している。ファーミングでは攻撃者があらかじめコンピューターに不正行為の種を仕込む。具体的にはパソコンに不正プログラムを送り込んでhostsファイルを書き換えるか、DNSサーバーのキャッシュを書き換える。要するにURLとIPアドレスを対応させるDNS(Domain Name System)に細工をするわけだ。するとユーザーがアドレスバーに本物サイトのURLを打ち込んでも、偽サイトにアクセスしてしまう。偽メールで釣り上げる(fishing → phishing)どころか、急所のDNSに種をまく農業(farming→pharming)のようなものだ。
ファイル交換ソフトの問題
ファイル交換ソフトを利用しているユーザーは、ハードディスク内にIDとパスワードを記録したファイルを保存してはいけない。
銀行側の対策とその限界
予防対策は主に3つ。
・パスワードそのものの強化
・キーロガーによるパスワード詐取の防止
・SSLによる通信の盗聴防止
各銀行別セキュリティ対策表
http://www.nikkeibp.co.jp/sj/2/special/img/73_hyou02a.gif
パスワードロック
パスワードの“強さ”=“推測しづらさ”
パスワードは長く、”英数字混在、かつ英字の大文字/小文字を判別する方が強い。”
パスワードミス 数回でロック
“振込などの取引を実行する際に、ログイン時とは別の取引パスワードを使う”
など。
乱数表
“取引パスワードの入力画面ではこの乱数表が手元にあるという前提で、「8、1、15、16番目の文字を入力せよ」といった要求が出る。文字の位置や順番は毎回異なるため、乱数表がないとお手上げだ。キーロガーでキー入力を盗んでも、次に同じものが使えるとは限らない。”
“毎回違う質問(チャレンジ)に回答(レスポンス)するタイプのパスワードをチャレンジレスポンス方式という”
ソフトウエアキーボード
“画面上のキーをクリックして文字を入力”
“ブラウザーのスクリプトで動作するため、文字をキーロガーに記録されない(ちなみにWindowsのスクリーンキーボードでは記録される)”
各銀行の取り組み
・ソニー銀行の場合
”数字/英大文字/英小文字の3ブロックの配置が表示のたびに変わる。こうすると、仮にマウスのクリック位置を記録する不正プログラムが出てきても安全性が高い”。
・イーバンク銀行の場合
”表示のたびにランダムに内容が変わるキー変換表が付いている。例えば「変換前:0123456789」→「変換後:vkiC2Ly94b」という変換表の場合、パスワードが「136955」だったら「kCybLL」と入力する”。
・東京スター銀行やりそな銀行の場合
”「nProtect:Netizen」(ネットムーブ)というフィッシング詐欺対策ソフトを導入”
ただし利用手順は煩雑。
第3のパスワード
定期預金解約などの重要取引や設定変更時に使用されるもの。
・イーバンク銀行の場合
一回限り有効なパスワードが発行され、事前登録したメールアドレスに送信(ワンタイム認証サービス)
・ソニー銀行の場合
”第3パスワードとして合言葉を使っており、「好きな映画のタイトルは?」のような質問に文字列で答える”
SSL(Secure Socket Layer)による暗号化通信
“SSLは通信内容を暗号化してデータ盗聴を防ぐもので、通信前のキー入力を盗むキーロガーには無力”
IPアドレス制限
“有効な予防策だが、グローバルIPアドレスに限られるのでどちらかといえば企業向け”
トークン
“一定時間ごとにトークンと呼ばれる専用ハードウエアに異なるパスワードを表示するワンタイムパスワード”
携帯電話
“将来的にはトークンの代わりに携帯電話を使う方法も考案されている。例えば野村総合研究所では、携帯電話へワンタイムパスワードを配信するASPサービス「SecuSURF SA」を11月初旬に公開する予定”
金銭的被害時の保証
“ユーザー側に明らかな過失がない、といった条件が満たされれば一定金額以下が補償される”ようになってきている。
不正利用に気づいた場合
・コールセンターに連絡
・警察に被害届を出す
ユーザー側の対策
・不正プログラムの侵入を防ぐ
・フィッシング詐欺にだまされない
・パスワードをきちんと管理する
その他に
OSやアプリケーションのアップデートをきちんと行う など。
怪しいファイルを不用意に開かない
拡張子に気をつけておく。exeなどは危険度が高い(らしい)
“Windows XPの場合、初期設定では拡張子が表示されない”みたいです。
さらにこんなものまで
“不正プログラムの中には、「ファイル名.txt(長いスペース).exe」のように拡張子の前にスペースを空けて拡張子を偽装するものがある。ファイル名の表示方法(「表示」メニュー)によっては名前の後半が省略されるためだまされてしまう。「詳細」表示にすればきちんと確認できる。”
IEのレベルは「中」
“初期設定では「インターネット」ゾーンのセキュリティレベルは「中」。この状態ならまず問題ないと考えていい。あえて言うなら、「レベルのカスタマイズ」で「スクリプトによる貼り付け処理の許可」を「無効」にすればさらに安全性は高まる。”
パーソナルファイアウオール
“パソコンからインターネットに出て行く通信、行って戻ってくる通信は許可するが、ネット側から一方的に送り付けられる通信は遮断する、という機能”
有効らしい。
SSLの証明書
“Webサイトやブラウザーに欠陥がない限り、アドレスバーのドメイン名とSSLの鍵マークを確認することで偽のWebサイトを見破れる”
“SSLのカギアイコンをダブルクリックすると、認証機関が発行した証明書の内容を見られる”
金融機関(らしき差出人)からメールが来た場合は
メール本文のリンクをクリックせず、自分のブックマークから本物のサイトにアクセスして、お知らせ欄などをチェック。メールの内容と同じようなお知らせがあるかどうか確認する。緊急時にはコールセンターに電話する。
なんだか、コピペばかりになってしまいました。
もしヤバかったらこの記事は封印します。
関係者の方々すみません。
最後に自分の対策を。
ちなみに私はMac使いですので、上記のwin関係のセキュリティとは違った方法をとっています。ていうかMacは安全だし。
ネット銀行のパスワードやその他のサービスで使用するパスワードなどをデータで管理しています。
これらはメインのHDとは別のボリューム(起動ディスクではない)に保存。
ちなみに外付けHDでもありません。意表をついた別ボリュームです(笑)
その別ボリュームに保存したファイルはロックのかかったフォルダに入れてあります。
ロックといっても暗号化しているんですけどね。
簡単!暗号ファイル・暗号メール作成ソフト「ドロップ暗号2」
/ MacOSX・Windows:情報の管理保護
という暗号化アプリを使っています。
win用もあります。
さらに Exロックフォルダ – ベクターソフトニュースなんてのもあるみたいですね。
そのほかセキュリティ関連のアプリは
「お気に入りのアプリケーション検索」さんにたくさんあります。
Macな方
= [お気に入りのアプリケーション検索] > OSX > セキュリティソフト・アンチウィルス・ファイヤーウォール…
winな方
= [お気に入りのアプリケーション検索] > セキュリティー [アンチウィルス・ファイヤーウォール]
非常にたくさんありますので、探してみてはいかがでしょうか。
—–
PING:
TITLE: アメーバ経営―ひとりひとりの社員が主役
URL: http://aoi45964.seesaa.net/
IP:
BLOG NAME: あおいの部屋
DATE: 10/07/2007 16:53:57
「京セラ」の好調ぶりを、まさに示す本。また「京セラ高収益経営の根幹をなすもなので公開すべきでない」との意見が社内であったにもかかわらず、オープンにしたのが、器の大きさを表している。「売上を最大に、経費を最小にする」話の根幹は至ってシンプル。試行錯誤か
—–