皆さん、こんにちは。
ITパスポート講座担当の小野です。
もうすぐ春です! リフレッシュしていきましょう!
ワンタイムパスワード。専用な端末に送られてくる1回だけ有効なパスワードです。例えば、ネット銀行では、申し込むと専用の端末を送ってくれて、ネット上で振込を行う際などには、その端末に配信されるワンタイムパスワードを入力します(事前に登録したメールアドレスにワンタイムパスワードが配信されることもあります)。
専用の端末に送られてくる1回だけ有効なパスワードなので、セキュリティレベルが高いと考えられています。専用の端末をわざわざ作って、利用者に配布して、運用するのですから、コストもかなりかかるでしょう。
しかし、ワンタイムパスワードが破られてしまいました! ワンタイムパスワードは、利用者の手元にある端末に表示されるのですから、その専用端末がないとワンタイムパスワードを知ることができません。どうやって破ったのでしょうか? その方法は実に古典的なものです。
①犯人が利用者のSMSに「カード・通帳の利用停止・再開のお手続きを行って下さい」
というメッセージを送ります。
②利用者がそれを信じてSMSのリンクを辿ると、いつもの銀行のHPに誘導されます。
ただし、このHPは犯人が準備した偽のHPです。
③ログインIDとログインパスワード、端末に送られてきたワンタイムパスワードを入力するように求められます。
④このとき、利用者は偽のHPにログインする作業を行っていて、犯人はそこに入力された情報を読み取り、本物のHPにログインしています。
このように、スマホを通じて、1つ1つ聞き取る形でID・パスワードを読み取るという古典的手口です。
もうこうなると、基本的には、相手側から送られてくる各種情報を疑ってかかるしかありません。信じないのが最大のセキュリティということでしょうか。
でも、サービス提供者から送られてくる情報を無視していると、使い勝手が制限される可能性もありますし、実にセキュリティ対策は難しいですね。
