Rapport、ネットバンクのセキュリティ対策
- (2014-03-08 11:10:17)
Rapportがやってくれること
ソフトをダウンロードして説明を読む。要約する:
(1)キーロギング対策
Rapportは基本文字置換アルゴリズムを使用する。
(2)ブラウザーアドオン
ブラウザーアドオンが機密情報を読み取ったり、
ユーザーのトランザクションを改ざんしたりすることを防止。
(3)悪意あるプログラム
プログラムがブラウザーに接続し、機密情報を読み取ったり、
ユーザーのトランザクションを改ざんしたりすることを防止。
(4)スクリーンキャプチャー
保護されたWebサイトに接続している間、
スクリーンショットの取得を防止。
(5)セッションハイジャック
保護されたWebサイトに接続している間、
セッションパラメーターへのアクセスを防止。
(6)フィッシング
Rapportはユーザーが保護されたWebサイトで使用するパスワードを記憶し、
ユーザーがこのパスワードまたはユーザー名を異なるWebサイトで使用すると警告。
(7)ファーミングまたはDNS偽装
Rapportはユーザーが保護されたWebサイトに接続するたびに
そのWebサイトのIPアドレスおよびSSL証明書を検証。
一般のセキュリティソフトとの違い
(2)と(3)は一般のセキュリティソフトと同じ。
(4)から(7)の項目までのスクリーンキャプチャー・セッションハイジャック・フィッシングとファーミングはRapportのTrusteer社が契約している銀行のサイト(「保護されたWebサイト」)に対してのみ有効だ。
彼らがパートナーと呼んでいる銀行は日本では「三菱銀行」と「セブン銀行」しなかいので、他の銀行には役立たずというとことなのかな?
(1)のキーロガー対策は三菱銀行用のIDとパスワード以外でも暗号化してくれているのかどうかよくわからない。
ユーザーではなく銀行側が払うタイプのセキュリティソフト?
銀行側が、Trusteer社にそれなりの契約金(おそらく年間契約)をお支払いすれば「パートナー」と呼ばれて保護対象になるのだろう。
今までのセキュリティ対策ソフトは個人に払ってもらうタイプだが、Rapportは銀行に払ってもらうモデルのようだ。よく考えられたビジネスモデルと感動した。
三菱銀行以外のサイトは保護してくれるか?
三菱銀行からダウンロードしただけに、三菱銀行のサイトへのアクセスしかプロテクトしていないと推測されるが、なんと、id・パスワードを送信するサイトは「すべてのWebサイトで、Rapportの保護を受ける必要があります」という説明がある。
----------------Rapportのヘルプから引用--------------------
追加のWebサイトの保護方法
Rapportは大切なお客様に可能な限り最高の保護を提供するために、Trusteerと直接連携する特定のWebサイトを保護するようにあらかじめ設定されています。
TrusteerはユーザーがオンラインIDを送信するすべてのWebサイトでRapportの保護を有効にすることをお奨めします。
-------------------------------------------------------------
ブラウザのURL窓に現れるRapportアイコン
この説明によると、三井住友銀行も新生銀行もJNBも、すべて個別に手作業で登録できて、保護の対象になると読める。そのやり方がわからなかったが、ふと気づくとブラウザーのURL窓の右側にRapportのアイコンができており、そこをクリックすると「このサイトを保護しますか?」とでるではないか。
Rapportアイコンがいつから出ているか、不覚にもよくわからない。最初の数日は気づかなかった。また、Rapportアイコンが追加されたブラウザは
・IE
・Chrome
FirefoxとOperaには追加されていない。他のブラウザはチェックしていない。
三菱銀行からダウンロードするRapportは三菱銀行しかプロテクトしない(三菱銀行さんからすれば当然の措置だろう)と思ったが、他のサイトも保護してくれそうだ。太っ腹だな。サイト数に制限はあるようだが・・・
ライセンス → http://www.trusteer.com/ja/support/rapport-license
導入価値ありか?
Rapportの機能は一般のセキュリティソフトである程度対応できるので、あえて導入する必要もないように見える。反面、2種類のセキュリティソフトを導入していれば、それだけ防御も手厚くなるとも言える。残高が多い人はこの種の保険があれば、精神的にも安心だ。
三菱銀行のオンラインバンキングを使用している人には意図しないフィッシングやファーミングから守ってくれるので、ありがたいかもしれない。
最近、三菱銀行のフィッシング詐欺を狙ったメールが数日おきに来ており、見るたびに「だまされることはない」と思う。
しかし、これが1000回くれば1回くらいはボーッとした日があって、不意にクリックする可能性もある。そんなときRapportが助けてくれるかもしれない。
もしそうなら、ありがたい話ではないか(だが、実際は下に書くように安心できない)。
三菱銀行さんが、Trusteer社にどれだけ払っているか空想もできないが、結局そのコストはマクロ的には巡り巡って消費者によって負担されるわけなので微妙ではあるが、とりあえず導入しても悪くないアプリに見える。
以上、これはRapportに触れ、表層的に感じたことを書いているのであってウラを取ったわけでもなく、根拠があって書いているものではない。
フィッシングサイトでテスト
三菱銀行のフィッシング詐欺らしいメールが来ていたので、Rapportのテストをしてみた。
クリックしてみたら、なんとplalaのネットバリアとかいう機能が働いてブロックされ、ターゲットのサイトにたどり着けなかった。
ネットバリアを解除してテストしたが、今度はその怪しいサイトはすでに閉鎖されていた。今日は時間切れ。またいつの日かテスト予定。
実際にテストしてみた
後日、日曜の早朝、三菱銀行のフィッシング・メールが来た。
日曜の朝だし、どこのセキュリティ会社もまだ対策できていないタイミング(URLの安全性チェックサービスで、そのURLが危険とアラームされない状態)で、見に行った。
そこは完璧に三菱銀行を思わせるページがあった。URLさえ、そっくり。ただ正規に見えるドメイン名の中に「cn」が含まれていた。
で、ページ内のリンク先も本物の三菱銀行だった。
自分としてはidとパスワードを入れるとRapportが拒否してくれると予想していた。
正しいそれらを入れてみたら、Rapportは「このまま進みますか?」といったアラームは出してくれたが、えーと、これでOKを押すとそのまま行けてしまった。
え?・・Rapportは止めてくれないの?
Rapport、イマイチ
この詐欺ページの次のページでは三菱銀行がクライアントごとに配布する乱数表のコードを入力する画面となり、典型的なフィッシングサイトに到達した感じだ。
Rapport入れていても、詐欺ページに軽々進んでいけるのだ。
今回のテストではRapportに物理的な抑止力がないのではないかと感じた。
この一例をもって、Rapport無用とは断定しないが、三菱銀行のお偉いさんが期待するほど、防御力はないのではないか。