「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁”

2019年9月からネットバンキングでの不正送金による被害が急増している。その背景には、多要素認証を迂回する手段が登場したことが挙げられるという。 この数週間、複数の公的機関やセキュリティベンダーが2019年のサイバーセキュリティ動向のまとめを公表しました。その中でも驚かされたのが、ネットバンキングでの不正送金による被害の急増ぶりです。警察庁の発表によると、それ以前は横ばいだった不正送金被害が19年9月から急増して過去最悪の水準になっており、その多くはフィッシングメールによる偽サイトへの誘導によるものとみられています。 実はこの数年、ネットバンキングを狙ったサイバー犯罪による被害は横ばいか、やや減少傾向にありました。 確かに14～15年にかけては、金融機関の名前をかたったフィッシングメールを送り付け、ネットバンキングのパスワードを盗み取って不正送金を行う手口が横行し、年間で30億円を超える被

[punychan]

id:B-CHAN 誤認。「なら無意味か」と2要素認証を避ける人が出たりすると悪影響があるんで、やめてもらいたい。

[six13]

クレジットカードの暗証番号が「問い合わせすると自宅に書留で届く」のがクソ面倒だなと思ってたけど、今は心強いな。

[moodyzfcd]

"SMS中のリンクにはアクセスしない、スマホアプリでログインするといったことを徹底するのが重要" https://tech.nikkeibp.co.jp/atcl/nxt/news/18/06735/

[megumin1]

記事もブコメも知識不足。銀行側が早くFIDO U2F Security Keyに対応するべき。OTPがフィッシングによる中間者攻撃に対して無力なのに対して、FIDO U2Fは原則的に防げます。物理セキュリティキーをもっと広めるべき。

[napsucks]

どうもgmailのパスワードが漏洩したらしく先日googleアプリの多段階認証の承認要求がガンガン飛んできて震えた。対応一歩間違えばアカウントがサヨナラだし、せめて漏洩確認に使えないように同時に要素を要求してくれよ

[odz]

一部ブコメが色々雑。OTPデバイス、SMS認証は所有認証だし、SMS認証は他経路利用の認証（OOB認証）のひとつ。NIST SP 800 63読め。

[B-CHAN]

ボクの12月23日のブログで書いたように、そもそもトークンやSMSによる多要素認証は、よく考えれば多要素認証では無く単なる多段階認証なんだよね。 https://www.b-chan.jp/entry/essay/token-multi-factor-authentication

[morobitokozou]

Googleが相変わらずフィッシングと見紛うような怪しいリンクをクリックさせる正規のHTMLメール送りつけてきてタチ悪い。「我々のURL？ググレカス」ぐらい言ってほしい。

[ton-boo]

FIDOで勝手にログインされるのは防げるとしても今回のような中間者によるセッション乗っ取りも防げる？本当に？利用者が接続先URL確認するしかなくない？

[sato0427]

フィッシングに釣られてる人を救う手段なんてあるの？多段や多要素以前の話では？／強いてやるなら2段目/2要素目から直接正規サイトに飛んで操作継続するならいけそうか？

[daybeforeyesterday]

うーむ

[ryunosinfx]

ふふ、危惧したことが本当になってる。ネットバンキングを多目的端末で使うからアカン。やはりスマホを用途別に持つべき。というか１台の中でもVMとかコンテナ分けてくれればいいけど利便性がとか騒ぐんよね。

[brusky]

銀行強盗するよりよっぽどリスクが低いんだろうな…

[onesplat]

物理デバイスは結局面倒なんだよな。素人考えなのは承知の上で 1. 利用登録時に「山」「川」を登録しておく 2. 運営は認証時にSMSで「山」と送る 3. 利用者はSMSで「川」と返信 4. 運営側で返信を照合する だとどうだろう？

[snare_micchan]

このままセキュリティコストが増え続けると、行き着くところは「ネットバンキングやーめた」「ECサイトやーめた、店頭販売だけにしよう」になるんじゃないかなあ。

[lowpowerschottky]

“多要素認証を迂回する手段が登場した”

[urtz]

ソーシャルエンジニアリングって聞くと、いにしえのケビンミトニックしか思いつかない。中間者攻撃も古典的な感じがする。ハードウェア認証はコストの問題がある。0円負担のソフトウェア認証とは比較にならない

[stp7]

ネットバンクでFIDO U2Fは誰も使わないだろうしコストかかるし無理。導入できるとしたらスマホ標準ブラウザで対応してるFIDO2。しかも今回の事例だとFIDO U2FでもFIDO2でも防げない。

[k2wanko]

銀行がFIDO2に対応しつつ物理キー配りまくればいい

[blueboy]

　利便性を高めるから、安全性が落ちるんだよ。利便性を引き下げれば、安全性を高めることはできる。パスワードの変更後の三日間は金額制限・利用制限するなど。

[palm84]

「ソーシャルエンジニアリング」「中間者攻撃」

[sechs]

昨日ネットバンクから送金したら結構面倒だった。メールアドレス認証やパスワード入力など多くて困った。こういう背景があったのか。ならどうするのか。物理キーにするとサービス別に10個のキーになったりしないかな

[circled]

悪いことやる奴はリモートワークに精が出ているようで。

[masadasu]

ネットに登録する銀行口座は複数作ったうちの予備の方にした方がいい。例えば10万円を盗まれたとして損害としては大きいが、100万円以上ほどの被害ではない。

[augsUK]

「Modlishka」公開するだけして放置みたいな、悪意のあるとしかいいようがない研究者の行動は抑制できないの？まあダウン板にWinny公開するようなものか。

[topaz2]

馬鹿が飛びつきそうな安全神話が崩れて良かった

[stealthinu]

多要素認証でもソーシャルハックからの中間者攻撃には対応できないのはわかっていたこと。だけど穴を機械的に突く攻撃は完全に防げる。

[gfx]

"数年前、多要素認証は不正ログインやフィッシング詐欺対策として非常に有効な手段でした。しかし上述のツールの登場により、状況は急速に変化しました"

[otihateten3510]

中間攻撃できるんだあれ。ん？スマホで全部完結してるのが問題なのか？

[rub73]

どおりで貯金が増えないわけだ

[karkwind]

多要素認証でも、ワンタイムを盗まれてしまって、送金されるのかぁ。スマホがターゲットなら、スマホのアプリを提供するとか銀行側で何とかしてもらいたいものです。

[gimonfu_usr]

"事前に自分で正しいサイトをブックマークに登録しておき、そのブックマークからアクセスするとともに、URLを確認" ／別記事　"こうしたツールの弱点は、中間者攻撃であるが故にHTTPS接続ではないところ"