Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)
ふたつの新たなインターネットの脅威が現われました。「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。
特集
1212views
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。
本稿は、CA Technologiesの公開資料をもとに、フィッシング詐欺やオンラインバンキングの脅威となる、Man in the Browser (MITB) と Man in the Middle(MITM) を考える。
--
●新たな脅威の出現
この数年間で、ふたつの新たなインターネットの脅威が現われました。これらの攻撃は、「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。これらの攻撃により、金融関連組織は、進化する脅威の環境においてユーザを安全に認証し、トランザクションの完全性を確実なものとする必要性に迫られています。
●MAN IN THE BROWSER
「トロイの木馬によってブラウザを攻撃する新たな脅威が出現しています。新たなトロイの木馬の新種は、ブラウザ内で形成されて容易にトランザクションを修正し、ユーザが意図したトランザクションを表示します。それらは構造的に、ユーザとブラウザのセキュリティの仕組みの間のman in the middle攻撃です。同様な手口のフィッシング攻撃とは違って、これらの新しい攻撃は、ユーザは本物のサービスとして利用し、通常通り正しくログインし、何も違いが見あたらないので、ユーザに全く気付かれません。(Philipp Guhring “Concepts against Man in the Browser Attacks” 2006)」
