<前の日記(2005年10月11日) 次の日記(2005年10月18日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1224   昨日: 3744

2005年10月17日

銀行やマスコミは対策の有効性の範囲で嘘を書いてはいけない

8月に書こうと思っていたが、時機を逸してしまった話題。

などのように、今年の夏は、スパイウェアが原因でインターネットバンキング で金銭被害が出たことが報道されたことから、各銀行がこぞってスパイウェア 対策に乗り出すという展開となった。

銀行が何らかの対策を発表するたびに、新聞やネットメディアで報道が繰り返 されたが、技術者の間からは「そんなものでは対策にならないのに」という懸 念の声が出ていた。

たしかに、スパイウェアに感染するような事態、つまり、悪意あるプログラム (トロイの木馬)を実行してしまうようなユーザのコンピュータでは、もはや、 銀行側でどんな対策をしたところで、この種の被害を完全に防ぐことは不可能 である。

しかし、完全な対策にならないからといって、その対策に全く意義がないとい うことにはならないのだろう。キーロガーによる攻撃が流行しているときに、 キーロガーを無効にする対策をするのには、一定の意義があるということなの だろう。

もっとも、「この銀行はキーロガー対策されているので」との認識から、ユー ザが、他の種類のトロイに対する注意を疎かにするということも起こり得る。 技術者達が「そんなものでは対策にならないのに」と懸念したのは、そうした 事態を心配してのことだろう。

だから、銀行は、対策を発表する際には、その対策が限定的なものであること を示さなくてはいけない。キーロガー対策であるなら、キーロガーへの対策に はなるが、その他のスパイウェアには効果がないので注意を怠らないようにと、 注意喚起するべきである。

たとえばソニー銀行の場合、キーロガー対策として「ソフトウェアキーボード」 なるものをサービス開始した際に、次のように表現に注意した発表をしていた。

キーボードの操作履歴が残らないため、入力情報を記録してパスワードなどを 盗用するタイプのスパイウェアに対して、通常のキーボードに比べ 安全な入力方法です。

スパイウェア等による不正利用防止のための機能追加について, ソニー銀行, 2005年8月1日

キーロガー以外のスパイウェアには依然として注意が必要であることの説明は 書かれていないものの(どうして書かないのだろうか?)、キーロガータイプ のスパイウェアに対して効果があるという書き方になっている。

それに対し、たとえばイーバンク銀行の同様の対策の発表においては、あたか もスパイウェア全般に対して効果があるかのような記述になっていた。

スパイウェア等による不正利用の対策として、暗証番号を安全に入力できる「ワンタイムセキュリティボード」(以下セキュリティボード)を8月5日(金)より導入いたします

イーバンク銀行、スパイウェア対策として「ワンタイムセキュリティボード」を導入, イーバンク銀行, 2005年8月4日

訴訟対策という意味でも不用意な表現ではなかろうか。

まあ、対策をした企業の立場からすれば、せっかく対策したのだから、最大限 有意義な対策であるかのように発表したくなるという気持ちはわからなくもな い。

だが、報道機関がそれを鵜呑みにして垂れ流すというのはいかがなものか。 日経コンピュータは、このイーバンク銀行の発表をうけて、次のような報道を していた。

これからはイーバンクを利用して出金などの取引をする際、4〜12桁の数字からなるパスワードの入力欄の下に、0から9まで各数字を特定の英字に置き換えた表が表示されるようになる。ユーザーはこの表に従って、パスワードの数字を置き換えた英字を入力する。 表は利用のたびにランダムに変わるので、スパイウエアなどで一度や二度キー 入力情報や通信データを盗み見られたとしても、 不正振り込みにつながる危険性は低い。

イーバンク銀行がスパイウエア対策にワンタイム・パスワードを導入, 日経コンピュータ, 2005年8月4日

これは明白に誤りである。「通信データを盗み見られた」場合は対策にならない。 「通信データを盗み見られた」という状況*1では、この対応表も同 時に盗み見られるからだ*2

イーバンク銀行は発表文で「通信データを盗み見られたとしても」とは書いて いなかったのに、日経コンピュータは誤った報道をして、イーバンク銀行のユー ザを過大に安心させるという過ちを犯した。

企業がセキュリティ対策をしたと発表したとき、「本当にそれで対策になって いるの?」との疑いを持って伝えるのが、ジャーナリストの役目だろう。イン ターネットが普及した時代、企業のプレスリリースは、誰でも簡単に直接読む ことができる。それを右から左へと無批判に横流しするだけなら、そんな報道 機関に存在価値はない。

*1 SSLを使用していても通信デー タは盗み見され得る。SSLで防止できるのは通信経路上での盗聴であり、通信 元であるコンピュータがスパイウェアに感染しているならば、SSLの暗号を復号した後の通 信データをスパイウェアは読み取ることができる。

*2 ユーザが変換後のパスワードをタイプし、送信ボタンを押す前に、盗み出したキーと対応表で攻撃者がログインできる。 訂正: ユーザのキー入力と変換表を入手できれば、元のパスワードがわかってしまう。

検索

<前の日記(2005年10月11日) 次の日記(2005年10月18日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2005年10月11日) 次の日記(2005年10月18日)> 最新 編集