ユーザー ID なりすまし攻撃では、攻撃者は被害者と既知と未知の 2 つの単純な関係を持ちます。この関係を知っている攻撃者は、被害者のログイン認証情報を簡単に盗むことができるため、被害者の身元になりすましてオンラインバンキング操作を実行することができます。この関係を知らない攻撃者は、攻撃を実行するために特定の攻撃シナリオが必要です。例えば、オフィスのLANや公衆無線LANなどの同じローカルエリアネットワーク(LAN)環境にいること、ARPやプロキシ傍受などのテクニックを使用してユーザーのログイン認証情報を取得し、被害者の身元になりすましてオンラインバンキング操作を実行することができます。オンラインバンキング操作の実行
現在、銀行は、ログイン・プロセスとログイン・フィードバックの 2 つの側面から、ID なりすまし攻撃を防いでいます。1つ目は、HTTPSプロトコルを採用し、本人認証にデジタル証明書を使用することで、「中間者攻撃」を促し、機密データをセキュリティ制御技術で暗号化することで、中間者攻撃に引っかかってもログイン認証情報を解読できないようにすることです。2つ目は、ログイン成功時のSMSリマインダーやログイン情報の表示により、偽ログインの可能性があることをタイムリーに利用者に知らせることです。つ目は、ログイン成功のSMSアラートを使用し、ログイン情報をタイムリーに表示することで、ユーザーに偽ログインの可能性を思い出させることです。
EYのデジタル証明書技術と組み合わせたHTTPSの使用は、双方向のID認証保護効果のためのSLプロセスの厳格な遵守は、基本的に中間者攻撃を排除し、より良いです。この種の保護では、EYの堅牢性が防御の最も重要な側面です。SMSアラートとログイン情報の機能は、発見時間の短縮とタイムリーな対策に一役買っています。しかし、銀行はセキュリティ対策の広報を強化し、オンライン・バンキング利用者はセキュリティ対策に対する意識を向上させるとともに、関連するセキュリティ機能をデフォルトで有効化または開放する必要があります。
現在、オンラインバンキングは通常、普及版と専門版の2種類のログインを提供しています。普及版はHTTPS通信とセキュリティ制御を組み合わせており、中間者攻撃を避けることはできませんが、ログイン認証情報はセキュリティ制御によって保護することができ、制御の暗号化強度と逆解析防止能力は攻撃と防御の焦点となっています。しかし、EYのほとんどはログインセッションで使用されないため、ログイン保護効果は普及版と同じです。また、オンラインバンキング利用者がより明確に危険性を判断できるように、ログインリマインダーやアラートの量はまだまだ充実させる必要があります。
セキュリティ管理は攻撃と防御の焦点となり、USBKEYのフル活用がトレンドとなり、ユーザーのセキュリティ意識の向上はまだまだ続く必要があります。
