teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップセキュリティーに関する質問
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

解決済

4回答

2941閲覧

Webセキュリティに詳しい方、銀行のワンタイムパスワードについて

zico_teratail
zico_teratail

総合スコア907

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

0グッド

1クリップ

投稿2015/04/10 08:33

0

1

http://headlines.yahoo.co.jp/hl?a=20150410-00000029-mai-soci

上記記事において、

利用者がネットバンキングにログインしただけでウイルスが自動的に活動を始め、犯人があらかじめ指定した口座に不正送金されるのが特徴のため、ワンタイムパスワードの対策は効力がないという。

という記載がありました。

しかしこれの意味が分かりません。
なぜそれが「ワンタイムパスワードの無力化」につながるのかの説明が足りていない記事だと思います。

ネット銀行では、利用者のPCでウイルスが活動してようが何しようが、
送金する際には最終的にワンタイムパスワードの入力を求められるはずです。

ワンタイムパスワードを生成表示しているのは
PCと無関係の物理的なトークンなので、ウイルス感染は関係ありませんよね?

にも関わらず、冒頭の記事で紹介されたような事態が発生するのはなぜなのでしょうか。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

ベストアンサー

私も

ワンタイムパスワードを生成表示しているのはPCと無関係の物理的なトークン

というのがワンタイムパスワードのイメージだったのですが、

送金などをする際に本人確認のため銀行からパソコンのメールアドレスに送られてくる「ワンタイムパスワード」
【注意】ワンタイムパスワードも盗難!国内で新ウイルスを確認 - NAVER まとめ

という、トークンを使わない場合に関しても「ワンタイムパスワード」と呼ぶことがあるようです。
なので、これは「ワンタイムパスワード」という用語の定義の問題になってきます。

引用記事に載っているウイルスは

「ボートラック」

とのことなので調べてみると

メールサービスから Eメールの情報を窃取
Webブラウザから情報窃取
不正なマクロを利用し、Windows PowerShellを悪用するオンライン銀行詐欺ツール「VAWTRAK」を確認 | トレンドマイクロ セキュリティブログ

とありました。
メールを盗み見ることができるので、メールを介して配信される「ワンタイムパスワード」をも盗み見ることが可能である、ということだと推察します。

ウイルス感染しているPCで銀行サイトへログインしたら、勝手に画面が変わって振込手続きが行われて、それに必要な「ワンタイムパスワード」がメールで送られてくるのでそれを使って振込を完了させる、というようなことでしょうか(推測です。

面倒なウイルスですね。そして面倒な誤解を生む記事ですね…。

投稿2015/04/10 10:03

riocampos
riocampos

総合スコア241

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

zico_teratail
zico_teratail

2015/04/10 12:07

なるほど、メールの盗み見ですか・・・ たしかにその可能性がありますね! でも、まさかいまだにメールでワンタイムパスワードを送ってくるような間抜けな銀行があるのでしょうか? 仮にあるとしても、riocampos様がご指摘の通り誤解を生む記事というか、記者自体があんまり技術やセキュリティに詳しくないんでしょうね。
zico_teratail
zico_teratail

2015/04/10 14:27

みずほ銀行もそうなんですか! でもみずほなら「やっぱり」という気もしますが(笑) なお、ゆうちょ銀行は私自身使っていますが、たしか何ヶ月くらいか前からトークンを使わないと一部利用制限がかかるようになっていたと思います。 http://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_token.html
guest

0

いえいえ、数字4桁ではなく、英数字4桁です。

復号はメーラが勝手にやってくれることですから、いいとしても、メールを暗号化して送るためには、受信者がメールの暗号化に対応した証明書を持っていて、受信者の公開鍵をつけて銀行が送らなければなりませんからね。

一般の人がメールのやり取りをするためにわざわざ証明書を取得するかというと、現実的には難しいでしょう。証明書って高価ですしね。

投稿2015/04/10 14:21

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

zico_teratail
zico_teratail

2015/04/10 14:24

英数字4桁でも、とにかくメールで送る時点でダメですよね。 一般的にメールは 「送信から受信までのあらゆる途中経路でノーガードで覗き見され放題の可能性がある」 という前提で考えるべきかと思います。
guest

0

手元に楽天銀行から届く「ワンタイムキー」のメールヘッダを確認してみました。
掲載すると問題もありそうなので、載せませんが、暗号化しているわけでもないし、
平文で送られてきているので、盗み見ることは多分可能なのでしょうね。

ワンタイムキー自体も、半角英数字の4桁と短いし、有効期限も60分ですから、
プログラムでなんとかするには、容易い事なのでしょう。

投稿2015/04/10 13:57

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

zico_teratail
zico_teratail

2015/04/10 14:11

楽天銀行ってそんなにひどいんですか!? 仮に暗号化されていたとしても結局最終的には復号しないとワンタイムキーとして 使えないんですから、メールで送ること自体が問題ですよね。 しかも数字4ケタで60分も有効とか、楽天銀行の技術者は中学生程度の知識しかないのでしょうか・・・。 私が知ってる限り、ジャパンネット銀行やゆうちょ銀行のセキュリティ・トークンの仕様はマトモだと思います。 元記事では > ワンタイムパスワードの対策は効力がない などと書いてましたが、「メールで送るようなタイプのワンタイムパスワードでは」という文にすべきですね。 それにしてもこの元記事を書いた毎日新聞の林奈緒美という記者、本当に悪質というか間抜けというか、マスゴミのレベルの低さと無責任さを改めて感じますね。
hyper-drums-ko
hyper-drums-ko

2015/04/20 17:20

> メールで送ること自体が問題ですよね。 他のデバイス(スマホやガラケーなど)を送信先にしておけば問題ないかと思いますが。 そもそも、ウィルスに感染するようなサイトを見る端末でオンラインバンキングやメーラーを使用する時点でITリテラシーがかなり低いと思われるので自業自得でしょうね。 > しかも数字4ケタで60分も有効とか この辺り、ちょっと誤解されているような気がします。 1) 9:00にAさんがBさんに振込処理を行う →"1a2b" というワンタイムパスワードが発行される 2) 9:05にAさんがCさんに振込処理を行う →"3c4d" というワンタイムパスワードが発行される と、それぞれのトランザクション毎にワンタイムパスワードが発行されます。 ですので 2) で "1a2b" というワンタイムパスワードを入力しても無効です。 #上記は楽天銀行さんの例です 今まで百回以上振込を行いましたが、何の問題もありませんでした。 > 楽天銀行の技術者は中学生程度の知識しかないのでしょうか・・・。 ここ(関係者ではありませんが)ちょっとカチンときました。 では、 ・中学生程度の知識しかないという理由 ・あなたならどうするのか を是非お聞きしたいです。 セキュリティ・トークンはもちろん安全だとは思いますが ・破損や紛失、電池切れの場合に使用できない ・コストが掛かる(→利用者に口座使用料として請求) といったリスクがあります。 今日中に振り込まないといけないのにトークンが電池切れ、というのが過去にありました。 あの時は本当に厳しかったです。。。 > それにしてもこの元記事を書いた毎日新聞の林奈緒美という記者、本当に悪質というか間抜けというか、マスゴミのレベルの低さと無責任さを改めて感じますね。 まぁ、我々はお金を払って何かしてもらっている訳じゃないですからね。 これだけ情報が溢れている時代なんで、我々は正しい情報をちゃんと取捨選択する必要があると思っています。
zico_teratail
zico_teratail

2015/07/13 13:05

> 他のデバイス(スマホやガラケーなど)を送信先にしておけば問題ない ちょっと意味がわかりません。 スマホだってウイルス感染などがありうるし、そもそもメールサーバやそれ以前のネットワーク経路でメールを盗み見られてしまえば終わりです。 >ITリテラシーがかなり低いと思われるので自業自得 リテラシーの低い人でもなるべく安全に利用できるように仕組みを考えるのがセキュリティ専門家の仕事だと思います。 > それぞれのトランザクション毎にワンタイムパスワードが発行 それは当たり前です。 別々のトランザクションで同じパスワードが有効だったら、それは「ワンタイム」とは呼びません。「ワンタイムパスワード」の意味を理解なさっていますでしょうか? > 今まで百回以上振込を行いましたが、何の問題もありませんでした 1回でも問題が発生したらダメなのがお金に関する取引だと思います。 > ・中学生程度の知識しかないという理由 逆にお尋ねしたいのですが、メールでパスワードを送る仕組みはプロレベルの仕事だと思われますか? > 破損や紛失、電池切れの場合に使用できない ジャパンネット銀行などで10年くらい使ってますが、一度もトラブルは経験してません。 >コストが掛かる JNBでもゆうちょでもトークン使用料を払ったことはありません。口座使用料も私は無料です。 >今日中に振り込まないといけないのにトークンが電池切れ、というのが過去にありました それはスケジュールを上手く立てられなかったあなたに問題があるのでは? 直接的にはトークン関係ないと思いますが。 >我々は正しい情報をちゃんと取捨選択する必要がある 溢れる情報の中から(良し悪しは別として)フィルタリング&整形して届けるのがマスコミの仕事の中心なんですけど。それを否定したら、マスコミの存在意義自体がなくなりますが。
退会済みユーザー

退会済みユーザー

2015/07/13 19:07

このコメント、いちいち通知が来るんだよねえ… あなたの書いた文章、読んでいて気持ちのいいものではないので、勘弁してくれません?
zico_teratail
zico_teratail

2015/07/16 05:01

> Kosuke_Shibuyaさん これはどうも申し訳ございません。 Kosuke_Shibuyaさんの書き方も決して気持ちのいいものではないので、あなたのような高圧的で説教じみた態度の文章を書かないよう、今後気をつけて参る所存でございます。
guest

0

あなたの質問を読んだだけなので違うかもしれませんが、

ログインしているということはワンタイムパスワードを入力して認証に通った後という意味ですね?

投稿2015/04/10 08:52

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

zico_teratail
zico_teratail

2015/04/10 09:06

いいえ、違います。 ネット銀行をお使いになったことはありますか? たとえばジャパンネット銀行の場合、普通に口座番号とログインパスワードでログインします。 これは一般的なWebサイトと同じ手順です。 銀行が普通のWebサイトと違うのは、ログインした後、 さらに何か重要な操作(たとえば振込みとか)をする場合、 別途ワンタイムパスワードというものを求められます。 このワンタイムパスワードというのは、利用者が銀行から渡された物理的なセキュリティ・トークンという機械にのみ表示されている、1分で使い捨てのパスワードです。 これがウイルスによって無効化されるというのはいったいどういう仕組みなのかというのが今回の質問です。
退会済みユーザー

退会済みユーザー

2015/04/10 09:10

そうですか、失礼しました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップセキュリティーに関する質問

Webセキュリティに詳しい方、銀行のワンタイムパスワードについて