［米国］
オンライン銀行の「一時パスワード」の詐取を狙うフィッシング・サイトが登場

（2006年07月14日）

　最近、一部の銀行で採用されている新しいトークンベースの認証システムをかいくぐる手口が発見され、早くもそれがオンライン詐欺に利用されているとの報告が寄せられている。

　英国を本拠とするインターネット調査会社ネットクラフトのアナリスト、リッチ・ミラー氏によると、ここ数週間のうちに、この手口を実行するフィッシング・サイトが35余り開設されたという。これらのフィッシング・サイトは、ユーザーにパスワードを入力させて、シティグループなどの銀行で採用されているセキュリティ・トークン・デバイスが生成する“一時パスワード”を盗み出すことを目的としている。

　ミラー氏は、「フィッシング犯罪者が、いわゆる“中間者攻撃”を利用してトークン認証をかいくぐる手口を探り始めたのはごく最近のことだが、この種の攻撃は、オンライン・バンキングのセキュリティを高めると期待されている新しい認証システムを早くも悪用したものであるため、懸念すべきだろう」と注意を促している。

　トークン・デバイスは、オンライン・バンキングのユーザーが一時的に使用するための“2つ目”のパスワードを生成する。これらのパスワードは、ごく短い時間だけ有効であり、しかも1回しか使えないため、攻撃者がそれらを盗んで後から使うことは不可能とされていた。米国の銀行は、今年末までにオンライン取引に強力な認証技術である「2要素認証」を導入することを求める連邦指針に対応するために、トークンベースの認証システムの導入を進めている。

　セキュリティ専門家は、フィッシング詐欺犯がいずれ中間者攻撃を利用してトークンベース認証を迂回すると予測していた。「今回の事件は、そうした予測がいよいよ現実のものになってきたことを示すものだ」とミラー氏は語る。

　具体的な犯罪の流れはこうだ。まずフィッシング詐欺犯が偽のオンライン・バンキングのログイン・ページを立ち上げてユーザーを誘導する。そこでパスワードが入力されると、そのパスワード情報が直ちに本物のオンライン・バンキング・サイトに転送されるため、詐欺犯が被害者より先にサインオンできるといった具合である。

　ミラー氏は、「今回の攻撃の特徴は、組織的に実行されていることだ」と指摘し、この手のフィッシング攻撃が今後広まる可能性があると予測している。

　ネットクラフトが発見した35のフィッシング・サイトのほとんどが現在閉鎖中であるが、ミラー氏によると一部はまだ稼働しているため注意が必要としている。

　米国SANSインスティチュートの最高研究責任者、ジョハネス・ウルリッチ氏は、「今回のフィッシングによって、攻撃に対して絶対に安全な技術など存在しないことが示された。しかしながら、トークンベースの2要素認証が、トロイの木馬プログラムのような悪意あるソフトウェアに対抗するにあたって有益なツールであることに変わりはない」と語る。

　同氏は加えて、「本当に大きな問題はフィッシング・サイトではなく、トロイの木馬やキーロガーだ。これらを用いた攻撃では、2要素認証を迂回するのは困難だろう」と指摘している。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)