証券口座、ワンタイムパスワードも突破の恐れ 同時進行で乗っ取り：朝日新聞

証券口座の乗っ取り被害が止まらず、不正取引は5千億円を超えた。証券各社は被害を防ぐために「多要素認証」の必須化を進めるが、セキュリティー会社はそれも突破される恐れを指摘する。一体どうやって防げばいい…

[NOV1975]

泥棒が来て「家をきれいにしてあげるから鍵開けてください」っていって鍵開けて「きれい」にされちゃう、みたいな話を「突破の恐れ」という他責感満載の表現をするからいかんのでは。

[kenjou]

ワンタイムパスワードも偽サイトに入力しちゃったら意味ないからね。FF14でもそれでアカウント乗っ取られてた人がいた。スクリプトを使って同時に本物のサイトに入力するらしい。

[sgo2]

https://note.com/bruteforce_diy/n/n30e2a965e48d 比較的分かり易い解説。TOTPですら最早不十分。はてなはパスキーを売り込むべきだと思う。

[manaten]

パスワードマネージャ使って人間がパスワード入れなければ、パスワードのほうを抜けないから大丈夫だと思うんだけどなあ。人間が入力するから偽サイトに引っかかるわけで

[saori-yamamura]

もう積立設定してるし今後ログインせずに放置するのが一番安全な気がしてきた…　パスワードを強化したり変更するのすら怖いよ…

[ya--mada]

中間者攻撃(AiTM、敵対者割込)って言わないとMFA不信が先行するから…。楽天証券の絵文字認証もAiTMフィッシングには効かないと思うのよね。

[nagi-pikmin]

SBI，これの設定してなかったら株買えなくなっててめんどくさい。コールセンターは一生繋がらないしどうにかしてほしい

[dot]

1Passwrod使ってる。Familyプランがお得なので子供含めて家族全員に使うように推奨してる。ほとんどのパスワードマネージャはドメインの確認もあるから余程問題無いと思うが。今後はパスキーの教育もした方が良さそう。

[ton-boo]

パスワードマネージャーにドメイン確認任せるのはだいぶマシだけどDNS偽装とRootCAインストールを重ねられると攻略される。パスキーはそれも耐えるはず

[tach]

メール内のリンクは死んでもクリックするな…呼び掛けるべきことはそれに尽きるんじゃないのかな…。結局偽装メールで誘導された偽サイトにパスワードを入力してしまうことから全てが始まるんだから…

[gewaa]

乗っ取り被害は本人が詐欺られてるだけなのに、証券会社の漏洩と思いこんでる情報弱者の人たちが多くて辟易する。テスタの件も複数社の口座を同時に乗っ取られたと証言しているので証券会社側が原因とは考えづらい。

[spark7]

SBIのFIDOは、webサイトのログインは対象じゃないのよね

[georgew]

リアルタイムフィッシング > これは証券口座乗っ取り事件発覚当初から指摘されてたぞ。

[ET777]

注意喚起のプレゼント https://digital.asahi.com/articles/AST660CKPT66ULFA01VM.html?ptoken=01JX50SB1JFC2Z8WWY03F46CJC

[tettekete37564]

クソ見出し。こんな見出しで何を扇動したいの？リアルタイムフィッシングなら突破されるのは証券口座だけじゃない。OTP自体が突破された訳じゃないし元々確率論だし

[suka6411144]

"一体どうやって防げばいいのか――" パスキー導入すればいいんじゃない

[napsucks]

ほとんどのMFAはクライアント認証を強化するだけでサーバ認証能力がないのでフィッシングには無力。MITMで中継されたら終わり。

[minboo]

いまの証券会社はとにかくログインが面倒で、昨日の米雇用統計発表時のような急激な為替変動には使えないんじゃないかなぁ

[koinobori]

そりゃそうだが、IDとパスワードのセット販売を買ってきた人のハッキングは防げるのは防げる。それはそうと、みんなパスワードマネージャー使ってくれよとは思う

[eroyama]

パスキーはFIDOサーバーがチャレンジを扱う時に認証を許可するホスト名を含めるから偽サイトがチャレンジさせても本物のサイトにはログインできない訳ね /つまり、パスワード認証でも、認証前にブラウザのアドレスバー

[romsentan]

ネット証券で口座乗っ取られるか、証券マンに強盗と放火されるかの究極の選択

[munyaX]

OTP使ってても、ログイン後のセッションID取られると終わるサービス多いだろうからなぁ（ブラウザの機能拡張が悪意ある第三者に乗っ取られる等）

[otchy210]

今の技術で言えばさ、フィッシングサイトにはフルスクリーンの <canvas> を一つだけ置き本物のサイトをそのままストリーミングで投影して、本物にログインさせた後に制御を奪うことも出来るな、とか思った。

[daybeforeyesterday]

うーむ

[brusky]

毎回電話かけて認証してもらってからログインするSBI。毎回よくわからない絵合わせをしてメールが絵合わせとログイン報告であふれる楽天。

[hibiki0358]

ただ単に偽サイトに気づかずにワード入れてんやから当然やろ？悪いのは自分や。

[momonga_dash]

多要素認証はフィッシングには無力だから、URLの確認を撤退したり、信用できるパスワードアプリ、パスキーを使ったりしましょう←もはや全国民知っててほしい

[felick]

パスキー早く実装しようね

[u_mid]

パスキー対応早よ。

[fa11enprince]

タイトルが誤解を招くから変えた方がいいのでは？ワンタイムパスワードの仕組みそのものを簡単に破る方法あるように見える。脅迫されてワンタイムパスワード入力させられてる状況と同じ。

[firststar_hateno]

ご注意くださいませ。不正アクセスの脅威は増していますわね。対策と情報保護が大切ですの。

[collectedseptember]

コワイ！

[sainokami]

取引用LinuxPCが必須。メールアドレスも証券会社専用のを用意しろ。