キーロガーとTwo Factor Authentication

最近、金融企業を的にした組織的犯罪事件が話題になった。オフィシャルな発表がなされていないが、掃除人に化けた犯罪グループの一員が、キーロガーと呼ばれる物を仕掛け、これによりペイメントや送金に使用しているPCのIDやパスワードを入手し、数百億円という送金を企てたようだ。キーロガーは上図のようなハードウェアやソフトウェアであり、キーボードから打たれた文字・数字をメモリーに溜め込み、後にゆっくりと解析することができる。インターネット上でも簡単に購買可能だ。金額が多かったからか、時間帯が悪かった（良かった？）のか、事件は未然に防がれ、実際の送金は不発に終わった。

ニュースが流れた当日、他金融企業の方からお電話。「どうしたらこんなことになるのでしょうかねえ？」 朝のFTしか読んでいなかったが、通常ペイメント系等のPCやサーバーは独立したネットワーク、インターネットの世界とは隔離されていることや、そもそもインターネットとなんらかの接続があっても、ハッキングして中に入り込むということはまず不可能と思い、「警備員かなにかに化けた、人の絡んだ犯罪でしょう」とお答えした。

ITセキュリティーとは言っても、物理的なセキュリティーがしっかりしていないと、実に脆いものだと再認識させられた事件だった。これを機に、出入りの業者やCCTVカメラ等のリビューを行った企業も多いのではないだろうか。

 

エクスレイヤでは、Aladdin社のeTokenという小型のUSBデバイスを取り扱っている。またVasco社のDigiPassというデバイスは、ワンタイム・パスワードを提供する。どちらも Two-Factor Authentication と呼ばれる、二重認証を経ないとアクセス権を得られないプロセスの提供で、セキュリティーを強化するものである。

即ち、キーボードからのパスワードだけではなく、そのユーザーが物理的なキーデバイスを保持しているかどうか、が認証時に問われるのである。キーロガーにより、第一関門のキーボードからの入力は盗まれてしまうが、第二関門でシャットアウトが可能。単価は数十ポンド程度。特にお金のやり取りや、重要情報を取り扱うPCにはお勧めだ。

(T Yoshida, 20 Apr 2005 )

---