本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を

2013年以降、マルウェア感染による不正送金被害が国内でも増加している。警察庁のまとめによると、ウイルスに感染してIDやパスワードを盗み取られ、他人の口座などに不正送金される被害は、2013年は前年の約14倍に当たる1325件に上った。2014年に入ってもその傾向は変わらず、2月末の時点で500件、約6億円に上る被害が生じているという。 不正送金で、最近増えているとされるのが「Man-in-the-Browser」（MITB）と呼ばれる手法だ。被害者のPCに侵入したマルウェアが、オンラインバンキングなど特定のページにアクセスしたときにだけ動作してWebページの表示に改ざんを加え（＝Webインジェクション）、IDやパスワード情報を盗み取ったり、送金先口座を変更してしまったりする。 産業技術総合研究所が2014年3月13日に開催した「第2回 セキュアシステムシンポジウム」において、同研究所の高

[komayuri]

大変失礼ながら、ウェブ上で駄目な企業や個人を攻撃するだけでなく、ちゃんとしっかりとした仕事もされているんだなと思いました。

[itochan]

前半のMITBの用語解説がわかりやすい　／　種々の利用規約と同じで「同意しますか」にめくら判の恐れは尽きない

[ardarim]

究極的にはやはりこういうネットから完全に隔離、独立した、マルウェアに感染しようのないデバイスの導入に行き着くことになるのかな。カード自体に機能を付けてしまえというのは名案。

[longroof]

見よ、これが本当のひろみちゅ砲だヽ(=´▽`=)ﾉ

[decoy2004]

『MITB攻撃に対し、重要な取引を行うときに、独立したハードウェアを併用して取引内容について確認を行う仕組み、いわゆる「トランザクション署名」ならば、送金先の変更などを検出できる。』

[kjw_junichi]

これって、片方のハードウェアやソフトを作るのが難しいから安全ってことなのかなぁ？　標的にされて、カードすり替えられたらいまと変わらない？でもいまはそれすらないからより安全にはなるのか？

[securecat]

トランザクション署名、早く対応してほすぃ

[raimon49]

専用デバイス

[deep_one]

名称から想像したものとかなり違った。注文内容確認メールを高度にしたものだった。／MITB対策としては、実際に送られる生情報を見れば良いんだよな…ブラウザがSSLの公開鍵を利用する直前の情報が見られれば…。

[klim0824]

"不正送金で、最近増えているとされるのが(中略)MITBと呼ばれる手法""PCに侵入したマルウェアが、オンラインバンキングなど特定のページにアクセスしたときにだけ動作してWebページの表示に改ざん"

[sugimo2]

"MITB攻撃はWebブラウザーの中で完結してしまうため、ブラウザーの利用者にも、サーバー側の管理者にも見抜くことは困難だ"

[stealthinu]

idSchuzak『「マルウェアに感染したデバイス上で安全に取引する」という発想は正しいのか』マルウェアに感染してるか判別出来ないからマルウェアに改ざんされたか検知できるデバイスを別に持つ、ということでしょう。

[tsupo]

MITB攻撃はWebブラウザーの中で完結してしまうため、「技術的にはお手上げ」 / 仕組み上、情報の盗み見を防ぐことまでは困難だとしても、「せめて取引だけは死守する」というアプローチが現実的ではないか

[miki3k]

ネットワーク－端末間を改竄される恐れがあるのなら、端末－デバイス間を改竄される可能性とか。

[ockeghem]

『VASCO Data Securityの「DIGIPASS」はテンキー付きのカード型デバイス』<SMBCが採用したパスワードカードですが、トランザクション署名はまだだそうです

[kana321]

「第2回 セキュアシステムシンポジウム」において、産業技術総合研究所の高木浩光氏が、独自の「MITB攻撃対策」を提案した

[Nobeee]

セキュリティ

[Schuzak]

「マルウェアに感染したデバイス上で安全に取引する」という発想は正しいのかどうなのか。力入れるところ間違えてないか。