金融高度化セミナー「金融機関における情報セキュリティの高度化に向けて」における質疑応答

2006年 1月26日
日本銀行金融機構局

【問】

当行では、不正なパスワードを何回か入力すると、取引が出来なくなるような仕組みを採用しているが、そのような仕組みを回避して不正使用する手口はあるか。

【答】

確かに、パスワードを3回程度誤入力するとエラーとなって取引が出来なくなる仕組みにしている銀行が多い。しかし、私が個人的に複数の銀行のインターネット・バンキングを試してみたところ、乱数表によるチャレンジ・レスポンス型の認証において、「チャレンジの出させ直し」を何回しても取引が続けられる銀行が一部にあった。そういう銀行では、乱数表上の一回分のパスワードが漏洩すれば、何度も「チャレンジの出させ直し」をすることによって、漏洩したパスワードを利用してログインができてしまう。このような作りとなっているのは、フィッシング攻撃やキーロガーが出現する以前に、そのような攻撃の脅威を想定しないでシステムを構築したためと思われる。

では、「チャレンジの出させ直し」の回数に制限をかければ安全かといえば必ずしもそうではない。非常に多数の口座に対して1日3回ずつ不正パスワードでのログインをトライすれば、偶々ログインできてしまう口座が1日に何件生じるかは、確率の問題として計算できる。多数の口座に対してそれぞれ少数回の攻撃を仕掛けるのはハッキングの常套手段であり、現在の認証手段では防御しきれない可能性がある。

【問】

預金引出や他人口座宛の振込に対して利用限度額を設定しているが、インターネット・バンキングによる取引で、これを破るような攻撃の手口はあるか。

【答】

例えば、利用限度額以上の取引が可能な特殊なルートが存在する場合や、利用限度額を引き上げられるパスワードを別途設定しているようなケースでは、これらのルートやパスワードを推定されるリスクがある。もっとも、こうしたケースが無いようにシステムを構築できれば、利用限度額に制限をかけることは、リスクを限定するという意味で有効な対策である。

以上