みずほ銀行が提供する、邦銀初のトランザクション認証機能付きのワンタイムパスワードカードを使ってみました

1. 1/12
みずほダイレクトワンタイム
パスワードカードを使ってみた
谷口 隼祐

2. みずほなんちゃらカードとは？
 みずほ銀行のモバイルバンキングサービス「みずほダイレクト」
で使用可能なワンタイムパスワードを生成するカード
 邦銀初のトランザクション認証を導入らしい
 Man In The Browser(MITB)攻撃による被害を防ぐ
 みずほ銀行の利用者ならば、申し込みは無料
 ただし再発行等は有料です。詳しくは公式サイトを確認
2/12
[ご参考]
みずほ銀行：ワンタイムパスワードカード
http://www.mizuhobank.co.jp/direct/security/password_card/index.html

3. 3/12
Man In The Browser(MITB)とは？
[出典] Man-in-the-Browserの 脅威と根本的な解決策
https://www.risec.aist.go.jp/files/events/2014/0313-ja/risec-sympo2014-takagi.pdf

4. 4/12
トランザクション認証とは？
 みずほ銀行曰く
“「トランザクション認証」機能とは、強固なセキュリティ対策
の一つで…”
 説明これだけかーい！
 さらに読み進めると
“ワンタイムパスワードとお振込先口座番号を紐づけ、お客さま
が指定した振込先であるか確認し…意図しない口座に振り込むと
いう犯罪を、防止することができます。”
 なんとなくわかった
でも、イメージ図が欲しい

5. 5/12
トランザクション認証とは？
 みずほ銀行さんに図があった…でもざっくり！
実際に使ってみよう！
[出典]みずほ銀行：ワンタイムパスワードカード
http://www.mizuhobank.co.jp/direct/security/password_card/index.html

6. 6/12
とりあえず使ってみる
 初回は、利用登録が必要。下記3つの情報を入力する
 カードに表示されているワンタイムパスワード
 カード裏面の番号
 第2暗証番号の一部
3つの情報で契約者の所有するカードであることを確認

7. 7/12
そもそもいつ使うの？
使う方法は2種類
 振り込みや振替えの取引時に使用する
 カードの①ボタンを押して生成されるワンタイムパスワードを使用する
 登録先以外の振り込みの取引時に使用する
 カードの③ボタンを押して振込先口座番号を入力し、OKボタンを押して生成
されるワンタイムパスワードを使用する
トランザクション認証が有効なワンタイムパスワードは後者
12344567 40114879- - - - - - -
ワンタイム
パスワード

8. 8/12
実際の振り込み画面

9. 9/12
取引失敗と成功時のメッセージ
 口座番号を間違えてワンタイムパスワードを生成した場合は、きちんと
エラーが発生する
 口座番号を正しく入力して生成したワンタイムパスワードならば、正常
に取引が完了する
振込先を登録した場合は、ワンタイムパスワード生成に
口座番号が不要になる。利便性も考慮した実装。
振り込みした後のタイミング
で振込先口座が登録できる

10. 10/12
みずほ銀行が採用する
トランザクション認証の効果
まずは、MITB攻撃による被害の確認
 MITB攻撃により、インターネットバンキングを利用するPCが完
全に乗っ取られている場合、PC上で入力する情報を攻撃者がコ
ントロールできてしまう
 ワンタイムパスワードを使えば、なりしましログインは防げるが、ログイン
状態で不正な操作（住所の変更や意図しない送金処理等）をされてしまう可
能性がある
 TLS/SSLで通信経路を保護していれば中間者攻撃は防げるが、ウェブブラウザ
の処理に介入し、お金の振込先を変えられる可能性がある
取引の成否に、PCからコントロールできない情報を使う！

11. 11/12
みずほ銀行が採用する
トランザクション認証の効果
次に、みずほ銀行のトランザクション認証で守れる範囲の確認
 PCとは別のデバイス上（カード）で、振込先口座番号に紐づい
たワンタイムパスワードを生成する
 MITB攻撃により、見ず知らずの振込先への送金処理をされたとしても、その
処理をサーバ側で止めることができる
 トランザクション認証による保護がない処理については、これまで通りの被
害が発生する可能性がある
MITB攻撃によるPCの乗っ取り自体は防げないが、
意図しない送金処理は防げる

12. 12/12
まとめ
 安全にインターネットバンキングを利用する一つの対策として、
トランザクション認証は有効
 ただし、万能ではないため、ウイルス感染しないようにPCのメン
テナンス（各種アップデートやパッチ適用）は継続して必要
 個人的に、口座残高が少ないという脆弱性の解消が急務
 用語の整理が必要になるかも
 トランザクション認証 or トランザクション署名 or トランザクション検証
[参考]
Transaction authentication - Wikipedia, the free encyclopedia
http://en.wikipedia.org/wiki/Transaction_authentication
Transaction verification - Wikipedia, the free encyclopedia
http://en.wikipedia.org/wiki/Transaction_verification