CAが二要素認証製品を強化、MITB攻撃対策を追加:トランザクションごとに検証
CA Technologiesは7月3日に、二要素認証システムの新バージョン「CA AuthMinder 7.1」を発表した。「Man in the Browser(MITB)攻撃」への対策を追加したことが特徴だ。
CA Technologiesは2013年7月3日に、二要素認証ソフトウェアの新バージョン「CA AuthMinder 7.1」を発表した。オンラインバンキングなどの処理を行う際にトランザクション情報を書き換える「Man in the Browser(MITB)攻撃」への対策を追加したことが特徴だ。
CA AuthMinderは、ハードウェアトークンやワンタイムパスワードを用いて強固な認証を実現する製品だ。IDとパスワードだけで認証を行う場合には、盗み見やパスワードの使い回しを悪用されて不正ログインされる恐れがある。しかし、パスワードに加えもう1つの「要素」を組み合わせることで、認証の強度を高め、なりすましのリスクを抑えることができる。
新バージョンでは、MITB攻撃を防ぐための新機能「セキュア・トランザクション・サイニング」を追加した。
オンラインバンキングにおけるMITB攻撃では、ユーザーが認証を済ませた後にマルウェアが活動を開始し、振り込み先や金額などのデータを書き換えて不正に金銭を盗み取る。しかし、これらの処理はユーザー認証後に行われるため、サーバ側からはあくまで「正規のユーザーによる処理」にしか見えず、不正を見抜くのが難しい。
セキュア・トランザクション・サイニングでは、ログイン時の認証に加え、何らかのトランザクションごとに、Web上での入力とは別にスマートフォンから専用サイトにアクセスし、取引情報を入力してパスコードを生成する(同社はこれを「カプセル化」と表現している)。Webからの入力で得られたパスコードとスマートフォン経由のパスコードの値を比較することで、金額などのデータに改ざんが加えられていないかどうかを確認する仕組みだ。
「セキュア・トランザクション・サイニングでは、異なる経路、異なるセッションを通じて確認を行う。これらを同時にハッキングするのは困難だ」と、CA Technologies ソリューション営業本部 セキュリティ・ソリューション営業部 部長の大友淳一氏は述べている。
大友氏は「MITB攻撃対策では、マルウェア対策とトランザクション対策の両方が必要になってくるが、日本ではどちらかというとマルウェア対策がメインのままだ」と指摘。マルウェアの侵入自体を防ぐ対策に加え、たとえマルウェアが入り込んでしまった環境でも被害を防ぐトランザクション対策が必要だと説明した。
MITB攻撃は、昨年、国内のオンラインバンクでも被害が発生したことから注目を集めるようになったが、最近、その被害はやや下火となっている。しかし「近い将来、さらに進化してまた現れるかもしれない。後手に回るのではなく、今のうちMITB対策を施すべきだ」と大友氏は述べている。
CAは、パスワードの使い回しなどが原因となって発生している不正ログインにも、AuthMinderによる認証の強化が有効だとしている。さらに特権/共有ID管理製品「CA ControlMinder」を組み合わせることで、標的型攻撃などで攻撃者に企業内に入り込まれた場合でも、重要サーバへのアクセスを制限し、被害の拡大を最小限に抑えることができるとしている。「『Identity as a New Perimeter』という考えの下、IDを使うものすべてのセキュリティを高めていく」(大友氏)。
CA AuthMinder 7.1ではほかに、ワンタイムパスワードの有効期限を柔軟に変更できる「タイムステップ」機能やMySQLのサポートなどが盛り込まれており、価格は1万ユーザーの場合で1950万円。同時に、ルール設定作業を簡素化する「Rule Builder」を追加したリスクベース認証製品の新バージョン「CA RiskMinder 3.1」も発表している。
Copyright © ITmedia, Inc. All Rights Reserved.