近年、金融機関のリテール取引チャネルの一つとしてインターネット・バンキングによる重要性が増している。一方で、インターネット・バンキングを利用した不正送金による被害は増加し社会問題化している。このような不正送金への対策の一つとして「取引認証」が考えられ、国内の金融機関において導入に向けた動きがみられる。この「取引認証」はICカードを利用した取引においては一般的に行われているもので、その業界標準であるEMV仕様の中で「取引認証」の仕組みが規定されている。
しかしながら近年、EMV仕様の「取引認証」への攻撃手法が発表されており、同攻撃手法は、インターネット・バンキングへの「取引認証」にも適用できると考えられる。
そこで本稿では、EMV仕様の「取引認証」への攻撃手法を踏まえ、インターネット・バンキングにおける「取引認証」への攻撃手法を検討するとともに、その対策・留意点について考察する。考察にあたっては、システム構築上の留意点だけではなく、ユーザ教育・啓蒙活動の観点での留意点についても言及する。
キーワード:インターネット・バンキング、取引認証、MitB攻撃、Pre-play attack、ユーザ教育・啓蒙活動
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。