http://headlines.yahoo.co.jp/hl?a=20150410-00000029-mai-soci
上記記事において、
利用者がネットバンキングにログインしただけでウイルスが自動的に活動を始め、犯人があらかじめ指定した口座に不正送金されるのが特徴のため、ワンタイムパスワードの対策は効力がないという。
という記載がありました。
しかしこれの意味が分かりません。
なぜそれが「ワンタイムパスワードの無力化」につながるのかの説明が足りていない記事だと思います。
ネット銀行では、利用者のPCでウイルスが活動してようが何しようが、
送金する際には最終的にワンタイムパスワードの入力を求められるはずです。
ワンタイムパスワードを生成表示しているのは
PCと無関係の物理的なトークンなので、ウイルス感染は関係ありませんよね?
にも関わらず、冒頭の記事で紹介されたような事態が発生するのはなぜなのでしょうか。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答4件
0
ベストアンサー
私も
ワンタイムパスワードを生成表示しているのはPCと無関係の物理的なトークン
というのがワンタイムパスワードのイメージだったのですが、
送金などをする際に本人確認のため銀行からパソコンのメールアドレスに送られてくる「ワンタイムパスワード」
【注意】ワンタイムパスワードも盗難!国内で新ウイルスを確認 - NAVER まとめ
という、トークンを使わない場合に関しても「ワンタイムパスワード」と呼ぶことがあるようです。
なので、これは「ワンタイムパスワード」という用語の定義の問題になってきます。
引用記事に載っているウイルスは
「ボートラック」
とのことなので調べてみると
メールサービスから Eメールの情報を窃取
Webブラウザから情報窃取
不正なマクロを利用し、Windows PowerShellを悪用するオンライン銀行詐欺ツール「VAWTRAK」を確認 | トレンドマイクロ セキュリティブログ
とありました。
メールを盗み見ることができるので、メールを介して配信される「ワンタイムパスワード」をも盗み見ることが可能である、ということだと推察します。
ウイルス感染しているPCで銀行サイトへログインしたら、勝手に画面が変わって振込手続きが行われて、それに必要な「ワンタイムパスワード」がメールで送られてくるのでそれを使って振込を完了させる、というようなことでしょうか(推測です。
面倒なウイルスですね。そして面倒な誤解を生む記事ですね…。
投稿2015/04/10 10:03
総合スコア241
0
いえいえ、数字4桁ではなく、英数字4桁です。
復号はメーラが勝手にやってくれることですから、いいとしても、メールを暗号化して送るためには、受信者がメールの暗号化に対応した証明書を持っていて、受信者の公開鍵をつけて銀行が送らなければなりませんからね。
一般の人がメールのやり取りをするためにわざわざ証明書を取得するかというと、現実的には難しいでしょう。証明書って高価ですしね。
投稿2015/04/10 14:21
退会済みユーザー
総合スコア0
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
手元に楽天銀行から届く「ワンタイムキー」のメールヘッダを確認してみました。
掲載すると問題もありそうなので、載せませんが、暗号化しているわけでもないし、
平文で送られてきているので、盗み見ることは多分可能なのでしょうね。
ワンタイムキー自体も、半角英数字の4桁と短いし、有効期限も60分ですから、
プログラムでなんとかするには、容易い事なのでしょう。
投稿2015/04/10 13:57
退会済みユーザー
総合スコア0
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/04/10 14:11
2015/04/20 17:20
2015/07/13 13:05
退会済みユーザー
2015/07/13 19:07
2015/07/16 05:01
0
あなたの質問を読んだだけなので違うかもしれませんが、
ログインしているということはワンタイムパスワードを入力して認証に通った後という意味ですね?
投稿2015/04/10 08:52
退会済みユーザー
総合スコア0
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/04/10 09:06
退会済みユーザー
2015/04/10 09:10
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/04/10 12:07
2015/04/10 14:19
2015/04/10 14:27