OTPが突破された?

 最近、OTP(ワンタイムパスワード)が突破されたというニュースをちょくちょく耳にします。オンラインバンキングなどの利用者がワンタイムパスワードの仕組みを利用していたにも関わらず、不正送金などの被害に遭ってしまったということです。

 では、本当にワンタイムパスワードの仕組み自体が突破されたのでしょうか。

 

 新聞などの報道で挙がっている原因は次の二つです。

 

1) パスワードメールの盗み見

 生成されたワンタイムパスワードがメールで利用者に告知されるプロセスになっており、そのメールが犯人に盗み見されてしまう。(読売新聞が報じていましたが、記事自体はもう削除されたようです。)

 

 メールサーバのID/パスワードを利用者本人に入力させる偽画面を出す事例が紹介されていました。そんなものまで入力させるのはおかしいと気づけばよいのですが、オンラインバンキングの正規画面と利用者が信じ込んでいたら、入力してしまうでしょう。また、利用者のPC自体がリモートで盗み見されていることもあります。金融機関もPCへのメールや、フリーメールではなく、別の携帯端末のメールをパスワード送信先に設定するよう勧めています。でも、キャリア・ガラケーからの移行ではないスマホ・ネイティブの人は、キャリアの携帯メールのアドレスを持ってないから、こんな場合は困りますね。(自分もそうです。)

 

2) 偽画面での入力

 トークンやカード、携帯端末などで生成されたワンタイムパスワードを利用者はPCの画面に入力するが、それを犯人が用意した偽画面に入力させる。

 「新種ウイルスは偽画面にワンタイムパスワードを打ち込ませて盗み、瞬時に別口座に送金させる。」(東京新聞 2015年4月10日 夕刊より抜粋)

 

 これは、いわゆるフィッシングの一種といえます。オンラインバンキングにログオンした直後にパスワード入力を求めるなど、通常のフローとは違う操作をさせる場合はまた気づきやすいですが、正規の振込フローで利用者がワンタイムパスワードを入力した直後に、「入力間違いがあります」と再入力を促す偽画面を出すという手口には、ほとんどの人が引っかかってしまうでしょう。もちろん、再入力を促す正規画面と見た目そっくりに作ってありますから、「あっ、間違えたか」と利用者は反射的に偽画面にパスワードを入力してしまう訳です。ソーシャル・エンジニアリング的にうまくやりやがったなという感じです。

 

 以上、見てくると、OTPが突破されたといっても、ワンタイムパスワードの仕組み自体が突破されたのではなく、生成されたパスワードが盗まれてしまったということのようですね。

 それでは、ワンタイムパスワード側でどういう対策が考えられるでしょうか。単純なTOTP(時刻同期)やEOTP(回数同期)方式では、本人認証の要素としてのパスワードを提供するだけなので、パスワードが盗み見られてしまうと犯罪者に対して無力です。取引を認証するかたちにすれば、セキュリティ強化が図れます。

 

 OTPの方式の一つ、チャレンジ・レスポンス方式の応用ですが、振込取引を行う場合、利用者がOTP発生器(トークンやカード)に、振込先口座番号の一部、振込金額の一部など、当該取引に紐付いた情報をキーインすると、OTP発生器がパスワードを生成する、金融機関のサーバはそのパスワードで利用者本人の当該取引であることを確認して、送金手続きを進めるというかたちが出来ます。仮に、そのパスワードが盗まれても、別の振込先への異なる金額の取引には使えません。ちなみに中国では、オンラインバンキングでの不正送金被害が莫大なので、この方式が既に広く普及しているそうです。

 

 JINCO UNIVERSALでは、チャレンジ・レスポンス方式で用いるマルチ・キー(13Key)タイプのOTPカードを作っています。その詳細はまたの機会にご紹介したいと思います。

 


◇ 社長のつぶやき ◇ 続きはこちら