日本銀行金融研究所 / 金融研究 / 2002.6
松本勉/岩下直行
要 旨
インターネットの急速な拡大を背景に、インターネットを利用して金融サービスを提供する金融機関が増えている。インターネットは世界中の利用者に開かれたネットワークであるため、利便性と効率性が高い反面、セキュリティ上のさまざまな脅威が存在することが指摘されている。インターネットを経由して金融サービスを提供する際には、金融機関もこうした脅威に対する適切な対策を講じておく必要がある。
インターネット・バンキングを提供する金融機関が最も重視しなければならないセキュリティ対策は、無権限者による成りすましなどの攻撃によって、正規の利用者や金融機関自身の財産が被害を受けないようにすることにある。そのような効果を実現するうえで鍵となるのは、インターネット上での利用者の認証方式である。そこで、本稿では、現在のインターネット・バンキングの多くで利用されている、SSL、パスワード、乱数表を組み合わせた認証方式にスポットを当てて、考えられる攻撃法について分析した。
その結果、現在の認証方式は、システムの設定次第では、情報の一部が漏洩した場合に成りすましの攻撃を受けるとか、乱数表の情報の一部を推定されるといったセキュリティ侵害のリスクが存在することがわかった。こうしたリスクは、現時点では深刻な問題とはいえないものの、将来、インターネット・バンキングがより広範に利用されるようになると、実際の被害につながりかねないものと思われる。わが国の金融機関が、今後、インターネットによる金融サービスを拡大していくためには、こうしたセキュリティ上の問題点について、適切に対処していくことが望ましいといえよう。
キーワード:インターネット・バンキング、セキュリティ対策、認証方式、SSL、パスワード、暗証番号、乱数表
本稿は、2002年2月28日に日本銀行で開催された「第4回情報セキュリティ・シンポジウム」への提出論文として作成されたものである。なお、本稿に示されている内容および意見は筆者達個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではない。
松本 勉 横浜国立大学大学院環境情報研究院
岩下直行 日本銀行金融研究所研究第2課