Tweet

なりすましに加えMITB攻撃に対策

画面の点滅で取引内容に署名、日本セーフネットが新トークン

2012/02/09

　日本セーフネットは2月9日、新しいタイプの認証トークン製品「SafeNet eToken 3500」を発表した。スクリーン上の点滅を光学読み取りセンサで読み取る独自の方式によって、トランザクション（取引内容）に署名を施し、マルウェアなどによるMan in the Browser（MITB）攻撃を防ぐことが特徴だ。

　従来から提供してきたUSBトークン認証やワンタイムパスワード認証では、ユーザーのなりすましへの対策は可能だった。だが、マルウェア感染によってブラウザを乗っ取り、ユーザーには正規の振り込み処理を行っているように見せかけつつ、バックグラウンドで送金先などを改ざんして金銭を詐取するMITB攻撃への対策は困難とされていた。

　SafeNet eToken 3500は、このMITB攻撃への対処を念頭に置いて提供される製品だ。ワンタイムパスワード認証に加え、トランザクションに対する電子署名機能を備えている。

　トークンには独自の鍵が組み込まれており、背面の光学センサによって読み取ったトランザクションの内容と時刻を基に、8けた、もしくは10けたの電子署名を生成する。取り引きと同時にこの電子署名情報を送信することで、口座番号や送金額といった金融取引データが、サーバとクライアントPCの間で改ざんされていないかどうかを確認できる。

　サーバ側には、トークン管理システムの「SafeNet Authentication Manager（SAM）」を導入するか、同社が提供する「SafeCORE API」を用いたカスタマイズが必要だ。加えて、WebサーバにJavaScrpitを組み込むことで、トランザクション内容を、SafeNet eToken 3500で読み取り可能な白黒の点滅に変換できるようになる。

　SafeNet eToken 3500の価格は、10〜99クライアントまでの場合で、1デバイス当たり7000円程度の見込み。2月14日から提供を開始する。