鈴木雅貴、中山靖司、古原和邦 近年、ウェブサービスからの情報漏えいが増加するなか、インターネット・バンキングや電子商取引サイト等のサービスにおいてパスワード（以下、「PW」と呼ぶ）を使い回しているユーザを対象とした不正ログイン（パスワードリスト攻撃）が急増している。同攻撃の原因の1 つとしてPW の使い回しが挙げられるが、利用するサービスごとに異なるパスワードを設定すると忘失すると考えるユーザが、やむを得ず行っている場合が多いと考えられる。PW の使い回しを前提とすれば、PW のほかに所持物による確認等を併用する「2 要素認証」が同攻撃への対策となるが、時間やコスト等の問題からすべてのサービスが同対策を直ぐに導入できるとは限らない。このほか、ユーザが記憶すべきPW の数を減らすことでPW の使い回しを回避するという対策もある。1 つは、1 回のユーザ認証で複数サービスへのログインを可能とす

鈴木雅貴、中山靖司、古原和邦 近年、ウェブサービスからの情報漏えいが増加するなか、インターネット・バンキングや電子商取引サイト等のサービスにおいてパスワード（以下、「PW」と呼ぶ）を使い回しているユーザを対象とした不正ログイン（パスワードリスト攻撃）が急増している。同攻撃の原因の1つとしてPWの使い回しが挙げられるが、利用するサービス毎に異なるパスワードを設定すると忘失すると考えるユーザが、やむを得ず行っている場合が多いと考えられる。PWの使い回しを前提とすれば、PWのほかに所持物による確認等を併用する「2要素認証」が同攻撃への対策となるが、時間やコスト等の問題からすべてのサービスが同対策を直ぐに導入できるとは限らない。このほか、ユーザが記憶すべきPWの数を減らすことでPWの使い回しを回避するという対策もある。1つは、1回のユーザ認証で複数サービスへのログインを可能とする「シングルサインオ

大杉謙一 本稿は、コーポレート・ガバナンスの概念を整理するとともに、特にモニタリング・モデル（取締役会を監督機関と位置付け、社外取締役に監督機能を担わせる実務）が日本企業の業績不振を改善し不祥事を防止することができるのかを検討するものである。また、2008年秋以降に特に深刻化した世界金融危機を取り上げて、これが提起した金融機関のガバナンスという問題についても、最近の議論・国際ルールの発展を踏まえて検討する。 米英独では、いずれも企業の不祥事を発端としてモニタリング・モデルが導入され、制定法ではなく提言のかたちで行動規範がまとめられた点、形式要件だけでなく同モデルを採用すべき理由（目的）が文書化・共有されたという点が共通している。わが国では企業の業績不振が主要な問題であるが、モニタリング・モデルは万能ではないものの、この問題についての1つの解決策を提示できる可能性がある。 金融機関は民間の営

鈴木雅貴、中山靖司、古原和邦 国内のインターネットバンキングにおいて、ログイン後に乱数表のすべての情報等の入力を求める「偽画面」を表示するフィッシング詐欺が昨年後半より発生している。こうした攻撃は、ユーザPC内のウイルスが通信内容を盗取・改ざんすることで可能となっており、「Man-in-the-Browser攻撃」と呼ばれている。同攻撃への対策としては、取引の内容を本人が認証する「取引認証」が海外の一部の金融機関において導入され始めているが、情報セキュリティ研究者の間で取引認証方式の安全性を統一的に評価する枠組みが確立されていないのが実情である。そこで、本稿では、取引認証を用いたインターネットバンキングにおける「Man-in-the-Browser攻撃」への対策について検討した。具体的には、インターネットバンキングに用いるブラウザとは異なるソフトウエアや端末・ハードウエア（ICカード、携帯