国内のインターネット・バンキングにおいて、ログイン後に乱数表のすべての情報等の入力を求める「偽画面」を表示するフィッシング詐欺が昨年の後半より発生している。こうした攻撃は、ユーザPC内のウイルスが通信内容を盗取・改ざんすることで可能となっており、「Man-in-the-Browser攻撃」と呼ばれている。同攻撃への対策としては、取引の内容を本人が認証する「取引認証」が海外の一部の金融機関において導入され始めているが、情報セキュリティ研究者の間で取引認証方式の安全性を統一的に評価する枠組みが確立されていないのが実情である。そこで、本稿では、取引認証を用いたインターネット・バンキングにおける「Man-in-the-Browser攻撃」への対策について検討した。具体的には、インターネット・バンキングに用いるブラウザとは異なるソフトウエアや端末・ハードウエア(ICカード、携帯電話、USBデバイス等)を用いた取引認証方式についての安全性の考え方を整理・評価し、金融機関が取引認証を導入する際の留意点について分析した。その結果、取引処理の観点からはTAN(Transaction Authentication Number)を利用することにより対策の選択肢・自由度が増えること、システム構成の観点からはインターネット・バンキングのブラウザが対策に用いられるソフトウエアや端末・ハードウエアと電気信号的に分離していることが重要であること等がわかった。
キーワード:インターネット・バンキング、Man-in-the-Browser攻撃、取引認証、多端末認証、多重認証、乗っ取り、重要インフラ
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。