ITパスポートのスペシャリストによるこっそり裏講義

 皆さん、こんにちは。
ITパスポート講座担当の小野です。
もうすぐ春です! リフレッシュしていきましょう!

 ワンタイムパスワード。専用な端末に送られてくる1回だけ有効なパスワードです。例えば、ネット銀行では、申し込むと専用の端末を送ってくれて、ネット上で振込を行う際などには、その端末に配信されるワンタイムパスワードを入力します(事前に登録したメールアドレスにワンタイムパスワードが配信されることもあります)。

専用の端末に送られてくる1回だけ有効なパスワードなので、セキュリティレベルが高いと考えられています。専用の端末をわざわざ作って、利用者に配布して、運用するのですから、コストもかなりかかるでしょう。

 しかし、ワンタイムパスワードが破られてしまいました! ワンタイムパスワードは、利用者の手元にある端末に表示されるのですから、その専用端末がないとワンタイムパスワードを知ることができません。どうやって破ったのでしょうか? その方法は実に古典的なものです。

 ①犯人が利用者のSMSに「カード・通帳の利用停止・再開のお手続きを行って下さい」
というメッセージを送ります。

 ②利用者がそれを信じてSMSのリンクを辿ると、いつもの銀行のHPに誘導されます。
ただし、このHPは犯人が準備した偽のHPです。

 ③ログインIDとログインパスワード、端末に送られてきたワンタイムパスワードを入力するように求められます。

 ④このとき、利用者は偽のHPにログインする作業を行っていて、犯人はそこに入力された情報を読み取り、本物のHPにログインしています。

このように、スマホを通じて、1つ1つ聞き取る形でID・パスワードを読み取るという古典的手口です。
 
 もうこうなると、基本的には、相手側から送られてくる各種情報を疑ってかかるしかありません。信じないのが最大のセキュリティということでしょうか。
でも、サービス提供者から送られてくる情報を無視していると、使い勝手が制限される可能性もありますし、実にセキュリティ対策は難しいですね。



小野正芳

毎週欠かさずチェック!

フォーサイト公式サイトへ

RSSフィードについて
このブログでは、RSS(RDF Site Summery)を使って、記事のヘッドラインを配信しております。RSSリーダーなどを利用することにより、更新記事の概要をすばやくチェックすることが可能です。