セキュアキーボードは安全ではない

(更新日: 2005/08/25)

SSLが流行しはじめた頃、「このサイトはSSLを使っているので安全です」とうたっていたサイト多く見かけました。これが大嘘であった事は周知の事実となっていると思います。

最近セキュリティ対策として「セキュアキーボード」と呼ばれている「ソフトウェアキーボード」が流行しつつあります。特に金融機関を中心に急速に浸透してきています。ソフトウェアキーボードとはWeb画面上に口座番号・暗証番号などを入力するボタンを表示してID情報を入力する仕組みです。残念ながら「セキュアキーボードを使っているので安全です」とうたっているサイトも大嘘をついている事になります。

セキュリティ関連MLではどのようにセキュアキーボード(ソフトウェアキーボード)を破るか話題になっていました。この対策は簡単に敗れる事が知られています。スクリーンラッパーという名称になる(?)ようですが、クリックした瞬間の画面イメージを攻撃者に送信する、という単純な手口でセキュアキーボードは破られてしまいます。すこし考えれば直ぐに破り方くらい分かると思うのですが何故か「セキュアキーボード」(安全なキーボード)と言う名称が付いているサイトが多くあります。

スクリーンラッパー付きのスパイウェアがいつ頃出回り始めるかな、と思っていたらもう出回っているようです。セキュアキーボードは”古い”キーロガーだけを使うスパイウェアには有効ですが、新しいスパイウェアには無力です。「セキュア」キーボードという名称は利用者に「安全である」と錯覚させる呼び名と思います。直ぐにセキュアキーボードや安全と思わせるような名称は使わないようにした方が良いと思います。

やはり基本に忠実にスパイウェアをインストールされないようにするしか本当に有効な方法は無いです。しかし、クライアントにスパイウェアをインストールされていない事をWebサイト側から確認することは不可能です。サービスを提供しているサイトは非常に悩ましいですね。

追記:ちなみにスパイウェアを植えつけるWebサイトと認知されているサイトは900ちょっとだそうです。私が見た統計情報にはjpドメインのサーバはありませんでしたが、用心は必要でしょう。

Comments

comments

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です