ワンタイムパスワードが危険な3つの理由。効果的な対策法とは

schedule 2018/06/25  refresh 2023/11/08


ワンタイムパスワードを使っていれば安全とはいえない

安全性の高い認証方式として注目されてきたワンタイムパスワードは、オンラインバンキングをはじめ、様々なオンラインサービスで使われるようになってきました。

 

しかし、近年ワンタイムパスワードの脆弱性を狙った犯罪が次々に起こっています。ワンタイムパスワードを使っていれば安心という時代は終わったといっても過言ではありません。

 

ワンタイムパスワードが危険な3つの理由と、安全性を高めるための効果的な対策法について見ていきましょう。

 

メールで受信するワンタイムパスワードが狙われる

その日、そのタイミングでしか使うことのできないワンタイムパスワードは、メールやSMSで通知する仕組みが主流でした。しかし、パソコンやスマートフォンをウイルスに感染させることで、メールやSMSが受信する情報まで盗み取る被害が発生しています。

 

2013年にインターネットバンキングの不正送金による被害額が増加したのは、ウェブメールに送信されたワンタイムパスワードが漏洩していることが原因だと考えられています。

 

ユーザーとオンラインサービスとの通信の間に入り込み情報を盗み取るこの手法は、中間者攻撃とも呼ばれ、独立行政法人情報処理推進機構ではその危険性を指摘しています。

 

ワンタイムパスワード生成器で生成したパスワードが狙われる

メールやSMSで受信するワンタイムパスワードが盗み取られるリスクがあるのであれば、ハードウェアトークンによるワンタイムパスワード生成器を使用すれば問題は解決するように思います。

 

しかし、MITB(Man-In-The-Browser)攻撃によって、悪意のある第三者が通信内容を改ざんする危険性があります。MITB攻撃とは、ネットワークを通じた攻撃手法の1つで、パソコンやスマートフォンにマルウェアを潜伏させて通信を監視、通信内容を改ざんします。

 

ユーザーがワンタイムパスワードなどを入力してオンラインサービスにログインしたことを検知すると、振込先や金額などの情報を不正に書き換え、第三者が指定する口座にお金を振り込ませます。

 

ユーザーには自分が指定した振込先への送金が完了したように見えるため、犯罪に気がつきにくく対策をとりにくいのが現状です。

 

DreamBotの感染拡大

日本サイバー犯罪対策センターでは、2017年10月から、日本国内におけるDreamBotの感染拡大を把握しており、注意を呼びかけています。DreamBotは、キーロガーの機能をもつウイルスで、実在する企業やサービスを騙るメール内のリンクをクリックすることによって感染が拡大しています。

 

DreamBotに感染したパソコンなどでオンラインバンキングを利用しようとすると、正当なサイトに酷似した偽画面が表示されます。ユーザーは偽画面だとは気がつかないため、ワンタイムパスワードなどの認証情報を入力してしまい、認証に必要な情報などを第三者によって盗み出されてしまうのです。

 

効果的な対策法

ワンタイムパスワードを不正利用されないようにするためには、ウイルス感染を防ぐ対策をとることが不可欠です。OSやアプリケーションは常に最新の状態を維持し、セキュリティ対策ソフトを必ず導入するようにしましょう。

 

日本サイバー犯罪対策センターでは、DreamBot・Gozi・Ramnit感染チェックサイトを運用中です。試験運用の段階ですが、感染状況をチェックする有効な手段となります。

 

また、ワンタイムパスワードは、ウェブメールではなく、携帯電話会社が提供するメールアドレスで受信することによって安全性を高めることができます。メールの通知をこまめにチェックすることも大切です。

 

まとめ

悪意のある第三者は手法を変化させながら、ワンタイムパスワードを盗み出し、不正送金などの犯罪行為を繰り返しています。

 

ワンタイムパスワードを使っていれば100%安心とはいえません。パソコンやスマートフォンがウイルスに感染しないように十分に対策を講じるとともに、最新のセキュリティ情報をチェックし、適切なセキュリティ対策をとるようにしていきましょう。

 

(画像はphoto ACより)