ワンタイム・パスワードでは防げない“中間者攻撃フィッシング”が出現:ITpro
ITmedia エンタープライズ:トークンではフィッシング詐欺を防げない? (1/2)
いわゆるセキュ研の2006年度第1回セミナーが行われた.
今回は昨年もいらっしゃったCarnegie Mellon UniversityのAdrian Perrig助教授.
発表内容は,アンチフィッシングについて.
なかなか聴きやすい英語で,理解しやすかったです.
もちろん,専門分野が違うから,たまに分からん単語が出てきたけど,概ね理解できたよ!
ちゃんと,笑うべきところで笑ったよ!
オレわかってる~♪
で.オレ.質問しようと試みたよ.
SSL接続で証明書確認をちゃんとすれば,多くの中間者攻撃は防げると思うのだが,
それが達成されないのは,ユーザの怠慢か,技術の力不足か.
って質問しようと思ったんだけど,前段階で諭された.
SSLで証明書確認しても,Unicode攻撃やPharming攻撃によって,
容易に騙すことが可能である例を提示された.
言われてみれば確かにそうだ.
そういう視点を持ってネットワークを眺めてみると,何もかもが信じられない.
相当の確信を持っていなければ,信用できない.
DNSポイゾニングと中間者攻撃は,多くのユーザを簡単に脅威に晒す攻撃手法だと思う.
彼の例ではオンラインバンキングが示されていた.
例えば,オレのメインバンクであるみずほ銀行は,
"mizuhobank.co.jp"というドメインを持っているが,
これが"mizuho-bank.co.jp"になったり,"mizuhοbank.co.jp"になったところで,
我々はそれが正規サーバではないことに確信を持つことが出来るだろうか.
これらのフィッシングサーバは,そのドメインで正規の証明書を持つので,
証明書確認を行ったところで,ドメインを疑わない限り,正規の証明書である.
つまりそういう話.
奥が深いぜ.
あと,携帯電話とブルートゥースと2Dバーコードを使った技術も講演してくれた.
米国の2Dバーコードを見て,大変ガッカリした.
日本ではQRコードが主流だが,海外はあんなもんですか.
サイズがでかいし,読み取りも遅いし,なんつっても情報量が少ない.
日本にいるから分からないけど,QRコードってすごい技術なんだね.
逆に,QRコードの素晴らしさに感動していただけたかと思います.
なかなか楽しい講演でした.
こういう講演を聴くと,その分野を研究してみたくなる,
結構当てられやすいのが,ボクです!