 |
|
最近の傾向
- 益々高度化、巧妙化。
- メールでの誘導など、スピア攻撃等に代表される様に
ある程度特定されたターゲット - ファーミング(Pharming/DNSサーバを改竄し、
フィッシングサイトに誘導する)といった ネットワークの
脆弱性を利用する新たな手法
| |
フィッシング対策のポイントは、サービス提供者と利用ユーザの相互が保護されること
- サービス提供者
⇒ サービスへのアクセスが正規のユーザによるものかどうかの保証
- 利用ユーザ
⇒ アクセスしているサイトが、本当に自分が利用しようとしている正規のサイトかの保証
|
|
フィッシング対策 − その1 | ワンタイムパスワード=使い捨てパスワードの利用
- 都度使い捨てるパスワードのため、パスワード情報が万一不正に取られとしても(詐取
されても)、同じパスワードを使って不正利用されることがない。
ワンタイムパスワードの生成方式は、イベント(カウンタ)方式より時刻方式や時刻&イベント
方式の方が、不正生成(利用)されにくく、セキュリティ強度は高いといえます。 |
|
フィッシング対策 − その2 | 相互認証が可能な仕組み
- 使い捨てパスワードをただ利用するだけでなく、利用ユーザ側で正規のサイトである
ことが確認出来る仕組みがあれば、フィッシングによる被害は激減。
※元々パスワード情報が不正に取られた(詐取された)としても、被害を受けにくい
使い捨てパスワードであるため、セキュリティリスクを大幅に軽減します。
VASCO独自のホストリターンコード方式や、チャレンジ&レスポンス方式、またはその組み
合わせなど、ユーザ側に正規サイトの確認が出来る仕組みにより、利用ユーザへの安心感
とセキュリティへの信頼感を高めます。 |
|
man-in-the-middle attack (中間者攻撃) |
フィッシング詐欺と組み合わされ、被害が出始めた新たな脅威
お互いに通信している二者の間に第三者が割り込み、通信の盗聴や改ざんを行う攻撃手法。
送信者に対しては受信者になりすまし、受信者に対しては送信者になりすまします。
フィッシング詐欺と組み合わされた場合、利用者が偽のフィッシングサイトにアクセスすると、
偽のフィッシングサイトが(本物)正規のサイトのサーバに、正規ユーザを装って通信を
中継する形になります。 | |
|
フィッシング対策 − その3 man-in-the-middle attack 対策 | トランザクション署名(電子署名)を使用する
- Digipass260やDigipass580の様にキーパッド付きのトークンを使用。
- 実際の取引データ(取引口座、振込先口座や金額)など複数の情報を元に暗号化されたデータを
生成し、トランザクションの内容をチェックする。 - PCと接続されていないOTPトークン上で電子署名データを発生させるために、取引の
安全性は飛躍的に向上。
| |
製品に関するお問合せ
| |
|
|
|
