 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
イーバンク、フィッシング詐欺対策を強化へ |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
イーバンク銀行ではフィッシング詐欺対策に、ログイン画面でキーワードを確認させるなどの新機能を9月から提供している。この機能について、「フィッシング詐欺対策にはならない」とする指摘がセキュリティ関連の国内メーリングリスト「Bugtraq-JP」に投稿されている。 イーバンク銀行が9月から開始したフィッシング詐欺対策は、ログイン画面にアクセスした際に、それまでは表示させないように設定していたWebブラウザのアドレスバーとステータスバーを表示させる設定に変更したことと、キーワード入力によるログイン方法を追加したことの2つ。 アドレスバーとステータスバーを表示する目的は、アドレスバーには正規のURLを、ステータスバーにはサイトの証明書を明示することだ。また、キーワード入力によるログインでは、ユーザーがあらかじめ全角10文字以内の“キーワード”を登録。ユーザーが支店番号、口座番号、ログインパスワードの最初の4文字を入力した段階で、イーバンクのサーバーからデータが転送されキーワードが表示されるようになっており、「このキーワードが正しければ、正規のイーバンクサイトであることが確認できる」(イーバンク銀行)としていた。 しかし、キーワード入力によるログイン方法について、Bugtraq-JPの投稿によると、ログインパスワードの前半部分を入力して登録キーワードが表示されたからといって、それが本物サイトであるとは限らないという。なぜなら、「(イーバンク銀行と)同じ画面を偽サイト上に構築し、騙して入力させた前半のパスワードと口座番号を、偽サイトが本物サイトに送信すれば、偽サイトは本物の『登録キーワード』を入手することができる」からだ。その結果、「(入手したキーワードを)偽サイトの画面上に表示できてしまう」としている。 投稿では、「アクセス先のサイトが本物であるかどうかの確認は、ブラウザのアドレスバーに表示されたURLを確認することと、ステータスバーの錠前アイコンで示されるサーバー証明書の内容を確認するのが基本」と指摘。キーワード確認機能といったWebサイト側の工夫だけでは、サイトが本物かどうかを明示できないと分析した。 こうした指摘に対して、イーバンク銀行でも、「キーワード確認機能はサイトの真贋を必ずしも完璧に判断できるものではない」とコメント。まずは、「アドレスバーでURLが『https://fes.ebank.co.jp』から始まっていることと、ステータスバーの錠前アイコンをクリックして証明書発行先の末尾が『ebank.co.jp』もしくは『fes.ebank.co.jp』であることを確認してほしい」とした。 同社では今後の対応として、「すでに法人向けに提供している、事前に登録したIPアドレスからのみアクセスを許可するIP制限機能を個人向けに提供する」予定だ。また「そのほかのフィッシング詐欺対策も開発中で、複数の防御機能を提供する方針だ」という。 関連情報 ■URL Bugtraq-JPの投稿 http://www.securityfocus.com/archive/79/376018 フィッシング対策に関する重要なお知らせ(イーバンク銀行) http://www.ebank.co.jp/information/information_032.html ■関連記事 ・ イーバンク、フィッシング詐欺対策でログイン画面に新機能(2004/09/06) ・ イーバンクのネットバンキング、IPアドレスによるアクセス制限機能(2003/12/16)
( 鷹木 創 )
- ページの先頭へ-
|
