2019 年 8 月 5 日 編集部記事

オンラインバンキングは大きなビジネスです。デロイトが実施した最近の調査によると、回答者の 73％ が少なくとも月に 1 度はオンラインバンキングのリソースを使用し、59％ がモバイルバンキングアプリを使用しています。しかしながら、ユーザトラフィックが多いにもかかわらず、今日のバンキングプラットフォームは、ハッカー対策が十分ではありません。その結果、攻撃者はオンラインバンキングの潜在的な弱点を悪用し、オンラインでさまざまなミスを犯すようにユーザを誘導します。

ウォッチガードのプロダクトマネージャである Andre Machado が Help Net Securityの最近の記事で、オンラインバンキングのユーザに対する 5 つのハッキングについて解説しました。具体的には、SMS スワップ、Man-In-The-Middle 攻撃、Man-In-The-Browser 攻撃、スピアフィッシング攻撃、モバイルマルウェア攻撃がこれに含まれます。この記事の一部を抜粋して以下にご紹介します。

バンキング関連の攻撃はこの数年間でさらに高度化しましたが、そのほとんどは、今もユーザを騙すことで成立するものです。たとえば、銀行に対する一般的なフィッシング攻撃の例として、銀行の本物の Web サイトとそっくりの Web ページを作成してユーザをそこに誘導するというものがあります。ユーザがその偽の Web サイトにログインしようとすると、「サービスをご利用いただけません」といったメッセージを表示してユーザを混乱させ、ユーザが入力しようとした認証情報を手に入れます。

もう 1 つの古くからある有効な手口は、中間者（MITM：Man In-The-Middle）攻撃と呼ばれるもので、これは、インフラストラクチャが正しく保護していないバンキングプラットフォームを攻撃するものです。この攻撃によって、ハッカーが金銭を手に入れるだけでなく、インフラストラクチャに弱点があり、脆弱であると知られてしまうことになるため、銀行の評判が低下する恐れがあります。この攻撃によって、ユーザと銀行のバックエンドの間の通信に割り込み、取引の値や口座を書き換えることができます。これを防ぐには、証明書関連付けのテクノロジを採用して、バンキングアプリケーションが特定のサーバの特定の証明書だけを信頼するようにします。

金融機関関連のさまざまな攻撃とバンキングシステムの保護強化の方法の詳細については、このリンクから Andre の記事全文(英文)を参照してください。

従業員をフィッシング攻撃から保護する方法については、こちらの Secplicity の記事をお読みいただき、強力なモバイル認証サービスを導入されたい方は、AuthPoint をぜひご検討ください。