Submit Search
Upload
みずほワンタイムパスワードカードを使ってみた
•
3 likes
•
3,627 views
S
Shunsuke Taniguchi
Follow
みずほ銀行が提供する、邦銀初のトランザクション認証機能付きのワンタイムパスワードカードを使ってみました
Read less
Read more
Internet
Report
Share
Report
Share
1 of 12
Recommended
9/2/2015のイベントで使用しました。http://www.sarr-llc.com/business-creation-salon/1943
Sarr&wbs 30 aug2015
Sarr&wbs 30 aug2015
Yoshimitsu Homma
2014年11月27・28日の斉藤賢爾 研究会「お金のギモン!とビットコイン」でのスライドです。「週刊金曜日」に斉藤が連載している内容にもとづいて、生活に密着した疑問を通してビットコインをはじめとするデジタル通貨にできること・できないこと・やった方がよいことを考えます。
お金のギモン!とビットコイン
お金のギモン!とビットコイン
Kenji Saito
http://gaiax-blockchain.com/
オープンソースコミュ俯瞰 18 nov2015
オープンソースコミュ俯瞰 18 nov2015
Yoshimitsu Homma
JavaScriptによるクリックジャッキング対策の迂回方法の検証結果。クリックジャッキング対策はX-Frame-Optionsヘッダを使いましょー。
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
Mr201212 man in_the_browser_in_android
Mr201212 man in_the_browser_in_android
FFRI, Inc.
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告 at 20回仮想化実装技術勉強会(vimpl)2009/Nov/5 http://qwik.atdot.net/vimpl/82.html
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
Kuniyasu Suzaki
Mr201207 browser treat
Mr201207 browser treat
FFRI, Inc.
高速メール配信エンジン「アクセルメール」を提供するKLabが、携帯メール配信のノウハウを凝縮した小冊子を無料配布中。お申し込みはhttp://www.klab.jp/am/まで。
プロが解決!携帯メール配信の3大トラブル
プロが解決!携帯メール配信の3大トラブル
repica Inc.
Recommended
9/2/2015のイベントで使用しました。http://www.sarr-llc.com/business-creation-salon/1943
Sarr&wbs 30 aug2015
Sarr&wbs 30 aug2015
Yoshimitsu Homma
2014年11月27・28日の斉藤賢爾 研究会「お金のギモン!とビットコイン」でのスライドです。「週刊金曜日」に斉藤が連載している内容にもとづいて、生活に密着した疑問を通してビットコインをはじめとするデジタル通貨にできること・できないこと・やった方がよいことを考えます。
お金のギモン!とビットコイン
お金のギモン!とビットコイン
Kenji Saito
http://gaiax-blockchain.com/
オープンソースコミュ俯瞰 18 nov2015
オープンソースコミュ俯瞰 18 nov2015
Yoshimitsu Homma
JavaScriptによるクリックジャッキング対策の迂回方法の検証結果。クリックジャッキング対策はX-Frame-Optionsヘッダを使いましょー。
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
Mr201212 man in_the_browser_in_android
Mr201212 man in_the_browser_in_android
FFRI, Inc.
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告 at 20回仮想化実装技術勉強会(vimpl)2009/Nov/5 http://qwik.atdot.net/vimpl/82.html
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
Kuniyasu Suzaki
Mr201207 browser treat
Mr201207 browser treat
FFRI, Inc.
高速メール配信エンジン「アクセルメール」を提供するKLabが、携帯メール配信のノウハウを凝縮した小冊子を無料配布中。お申し込みはhttp://www.klab.jp/am/まで。
プロが解決!携帯メール配信の3大トラブル
プロが解決!携帯メール配信の3大トラブル
repica Inc.
パスワード認証に関する事柄
Password security
Password security
Joe_noh
Monacaで簡単スマートフォンアプリ開発体験講座
Monacaで簡単スマートフォンアプリ開発体験講座
Monaca
インターネットバンキングに関わる不正送金の被害は、2013年以降、急激に増加しており、社会問題となっている。 2015年4月に警視庁が日本独自としては初のテイクダウン作戦である「ネットバンキングウイルス無力化作戦」を実施した。 我々は警視庁の要請により、「ネットバンキングウイルス無力化作戦」のターゲットである「VAWTRAK」を無力化する技術を開発し、技術協力を行った。 本発表では、無力化作戦の概要と技術協力に至るまでの経緯について紹介する。 また、我々がVAWTRAKを無力化するために開発した技術についてデモを交えて紹介する。 さらに、2016年に流行する金融マルウェアの調査結果から攻撃が高度化している実態について述べる。 --- 高田 一樹Kazuki Takada 株式会社セキュアブレイン 先端技術研究所 兼 セキュリティレスポンスチーム所属 シニアソフトウェアエンジニア。2014年 株式会社セキュアブレインに入社。ソフトウェアエンジニアとして、ソフトウェア開発に従事する傍らセキュリティ研究を行っている。主に金融マルウェアおよびフィッシングによるサイバー犯罪の分析および対策技術の開発を担当。 主な講演・発表 2015年、2016年フィッシング対策ガイドライン実践セミナー講師 2016年IEICE依頼シンポジウム「マルウェア長期観測・テイント解析の解析手法と観測結果」
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
CODE BLUE
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
Amazon Web Services Japan
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門(初心者向け) 2015-05-02(土)10:00 - 12:30 LT駆動開発 14 - 5月病 https://github.com/LTDD/Sessions/wiki/LT駆動開発14
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
Yoshitake Takata
【19-E-L】うちのWebサイトが使えなくなる!? SSL署名アルゴリズム「SHA-2」移行のポイントと、複数証明書の管理・運用の効率化
【19-E-L】うちのWebサイトが使えなくなる!? SSL署名アルゴリズム「SHA-2」移行のポイントと、複数証明書の管理・運用の効率化
【19-E-L】うちのWebサイトが使えなくなる!? SSL署名アルゴリズム「SHA-2」移行のポイントと、複数証明書の管理・運用の効率化
Developers Summit
AppleとGoogleのデザインガイドラインをUIの基本要素ごとに比較し、スマートフォン向けのWebサイトをデザインする際に役立つ制作基準としてポイントをまとめたスライドです。
Appleとgoogleのデザインガイドライン比較~スマートフォン向けwebデザインのポイント~
Appleとgoogleのデザインガイドライン比較~スマートフォン向けwebデザインのポイント~
Tomoyuki Arasuna
More Related Content
Viewers also liked
パスワード認証に関する事柄
Password security
Password security
Joe_noh
Monacaで簡単スマートフォンアプリ開発体験講座
Monacaで簡単スマートフォンアプリ開発体験講座
Monaca
インターネットバンキングに関わる不正送金の被害は、2013年以降、急激に増加しており、社会問題となっている。 2015年4月に警視庁が日本独自としては初のテイクダウン作戦である「ネットバンキングウイルス無力化作戦」を実施した。 我々は警視庁の要請により、「ネットバンキングウイルス無力化作戦」のターゲットである「VAWTRAK」を無力化する技術を開発し、技術協力を行った。 本発表では、無力化作戦の概要と技術協力に至るまでの経緯について紹介する。 また、我々がVAWTRAKを無力化するために開発した技術についてデモを交えて紹介する。 さらに、2016年に流行する金融マルウェアの調査結果から攻撃が高度化している実態について述べる。 --- 高田 一樹Kazuki Takada 株式会社セキュアブレイン 先端技術研究所 兼 セキュリティレスポンスチーム所属 シニアソフトウェアエンジニア。2014年 株式会社セキュアブレインに入社。ソフトウェアエンジニアとして、ソフトウェア開発に従事する傍らセキュリティ研究を行っている。主に金融マルウェアおよびフィッシングによるサイバー犯罪の分析および対策技術の開発を担当。 主な講演・発表 2015年、2016年フィッシング対策ガイドライン実践セミナー講師 2016年IEICE依頼シンポジウム「マルウェア長期観測・テイント解析の解析手法と観測結果」
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
CODE BLUE
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
Amazon Web Services Japan
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門(初心者向け) 2015-05-02(土)10:00 - 12:30 LT駆動開発 14 - 5月病 https://github.com/LTDD/Sessions/wiki/LT駆動開発14
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
Yoshitake Takata
【19-E-L】うちのWebサイトが使えなくなる!? SSL署名アルゴリズム「SHA-2」移行のポイントと、複数証明書の管理・運用の効率化
【19-E-L】うちのWebサイトが使えなくなる!? SSL署名アルゴリズム「SHA-2」移行のポイントと、複数証明書の管理・運用の効率化
【19-E-L】うちのWebサイトが使えなくなる!? SSL署名アルゴリズム「SHA-2」移行のポイントと、複数証明書の管理・運用の効率化
Developers Summit
AppleとGoogleのデザインガイドラインをUIの基本要素ごとに比較し、スマートフォン向けのWebサイトをデザインする際に役立つ制作基準としてポイントをまとめたスライドです。
Appleとgoogleのデザインガイドライン比較~スマートフォン向けwebデザインのポイント~
Appleとgoogleのデザインガイドライン比較~スマートフォン向けwebデザインのポイント~
Tomoyuki Arasuna
Viewers also liked
(7)
Password security
Password security
Monacaで簡単スマートフォンアプリ開発体験講座
Monacaで簡単スマートフォンアプリ開発体験講座
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
[AWSマイスターシリーズ] Amazon VPC VPN & Direct Connect
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
【19-E-L】うちのWebサイトが使えなくなる!? SSL署名アルゴリズム「SHA-2」移行のポイントと、複数証明書の管理・運用の効率化
【19-E-L】うちのWebサイトが使えなくなる!? SSL署名アルゴリズム「SHA-2」移行のポイントと、複数証明書の管理・運用の効率化
Appleとgoogleのデザインガイドライン比較~スマートフォン向けwebデザインのポイント~
Appleとgoogleのデザインガイドライン比較~スマートフォン向けwebデザインのポイント~
みずほワンタイムパスワードカードを使ってみた
1.
1/12 みずほダイレクトワンタイム パスワードカードを使ってみた 谷口 隼祐
2.
みずほなんちゃらカードとは? みずほ銀行のモバイルバンキングサービス「みずほダイレクト」 で使用可能なワンタイムパスワードを生成するカード 邦銀初のトランザクション認証を導入らしい
Man In The Browser(MITB)攻撃による被害を防ぐ みずほ銀行の利用者ならば、申し込みは無料 ただし再発行等は有料です。詳しくは公式サイトを確認 2/12 [ご参考] みずほ銀行:ワンタイムパスワードカード http://www.mizuhobank.co.jp/direct/security/password_card/index.html
3.
3/12 Man In The
Browser(MITB)とは? [出典] Man-in-the-Browserの 脅威と根本的な解決策 https://www.risec.aist.go.jp/files/events/2014/0313-ja/risec-sympo2014-takagi.pdf
4.
4/12 トランザクション認証とは? みずほ銀行曰く “「トランザクション認証」機能とは、強固なセキュリティ対策 の一つで…” 説明これだけかーい!
さらに読み進めると “ワンタイムパスワードとお振込先口座番号を紐づけ、お客さま が指定した振込先であるか確認し…意図しない口座に振り込むと いう犯罪を、防止することができます。” なんとなくわかった でも、イメージ図が欲しい
5.
5/12 トランザクション認証とは? みずほ銀行さんに図があった…でもざっくり! 実際に使ってみよう! [出典]みずほ銀行:ワンタイムパスワードカード http://www.mizuhobank.co.jp/direct/security/password_card/index.html
6.
6/12 とりあえず使ってみる 初回は、利用登録が必要。下記3つの情報を入力する カードに表示されているワンタイムパスワード
カード裏面の番号 第2暗証番号の一部 3つの情報で契約者の所有するカードであることを確認
7.
7/12 そもそもいつ使うの? 使う方法は2種類 振り込みや振替えの取引時に使用する カードの①ボタンを押して生成されるワンタイムパスワードを使用する
登録先以外の振り込みの取引時に使用する カードの③ボタンを押して振込先口座番号を入力し、OKボタンを押して生成 されるワンタイムパスワードを使用する トランザクション認証が有効なワンタイムパスワードは後者 12344567 40114879- - - - - - - ワンタイム パスワード
8.
8/12 実際の振り込み画面
9.
9/12 取引失敗と成功時のメッセージ 口座番号を間違えてワンタイムパスワードを生成した場合は、きちんと エラーが発生する 口座番号を正しく入力して生成したワンタイムパスワードならば、正常 に取引が完了する 振込先を登録した場合は、ワンタイムパスワード生成に 口座番号が不要になる。利便性も考慮した実装。 振り込みした後のタイミング で振込先口座が登録できる
10.
10/12 みずほ銀行が採用する トランザクション認証の効果 まずは、MITB攻撃による被害の確認 MITB攻撃により、インターネットバンキングを利用するPCが完 全に乗っ取られている場合、PC上で入力する情報を攻撃者がコ ントロールできてしまう ワンタイムパスワードを使えば、なりしましログインは防げるが、ログイン 状態で不正な操作(住所の変更や意図しない送金処理等)をされてしまう可 能性がある
TLS/SSLで通信経路を保護していれば中間者攻撃は防げるが、ウェブブラウザ の処理に介入し、お金の振込先を変えられる可能性がある 取引の成否に、PCからコントロールできない情報を使う!
11.
11/12 みずほ銀行が採用する トランザクション認証の効果 次に、みずほ銀行のトランザクション認証で守れる範囲の確認 PCとは別のデバイス上(カード)で、振込先口座番号に紐づい たワンタイムパスワードを生成する MITB攻撃により、見ず知らずの振込先への送金処理をされたとしても、その 処理をサーバ側で止めることができる
トランザクション認証による保護がない処理については、これまで通りの被 害が発生する可能性がある MITB攻撃によるPCの乗っ取り自体は防げないが、 意図しない送金処理は防げる
12.
12/12 まとめ 安全にインターネットバンキングを利用する一つの対策として、 トランザクション認証は有効 ただし、万能ではないため、ウイルス感染しないようにPCのメン テナンス(各種アップデートやパッチ適用)は継続して必要
個人的に、口座残高が少ないという脆弱性の解消が急務 用語の整理が必要になるかも トランザクション認証 or トランザクション署名 or トランザクション検証 [参考] Transaction authentication - Wikipedia, the free encyclopedia http://en.wikipedia.org/wiki/Transaction_authentication Transaction verification - Wikipedia, the free encyclopedia http://en.wikipedia.org/wiki/Transaction_verification