2016年6月13日
- トランザクション認証機能とは?
- 「スターBB!」で取り引きする際に、二次元コード読み取り機能付きハードウェアトークン(以下、「カメラ付きトークン」といいます。)でご自身の取引内容が改ざんされていないかを目視でご確認いただき、取引内容を元に生成された可変パスワードにより認証する機能です。
今般、不正送金の手口が高度化し、一般的なワンタイムパスワードやメール通知パスワード、乱数表方式のセキュリティでは防止できない手法を用いた被害が増加しています。今回当行が導入する「トランザクション認証」は、従来の「データ入力者が本当に契約者本人であるか」に加え、「銀行に送信された依頼データが、入力者が意図した内容から書き換えられていないか」まで確認する新世代の認証方式です。これにより、取引画面でワンタイムパスワードを入力した後に、ウィルスによって振込データを書き換えて銀行へ送信するような最新の手口(MITB攻撃)による不正送金を防止します。 - MITB攻撃とは?
- MITB(マン・イン・ザ・ブラウザ)攻撃とは、ブラウザに感染させたウィルスにより、ブラウザ内部で不正な操作を行い、預金を盗み取る不正送金手法のことです。
典型的なMITB攻撃において、ウィルスはユーザーがインターネットバンキングへのログインが成功した後に活動を開始し、ユーザーが入力した振込情報を銀行に送信される前に書き換えてしまいます。振込先は犯罪者が用意した口座に変更され、金額も変更されてしまう恐れがある一方、振込確認画面上はユーザーが入力した本来の振込情報のまま表示させることができるため、ユーザーは不正に気づかずに、ワンタイムパスワード等も入力してしまいます。その結果、銀行側では、正しいユーザーのパソコンから、正しい振込情報が送信されたものと判断され、振込が成立してしまいます。
MITB攻撃は、従来の認証方式が、ワンタイムパスワードトークンや乱数表の所持を通した「本人性」の確認に終始していることを突いた不正送金手法であり、既に海外では大きな被害が報告されているほか、国内でも被害が拡大しつつあります。これを防ぐには「本人性」の確認に加えて「送金内容が改ざんされていない」ことを確認するトランザクション認証が有効となります。
- 主な使用方法
- @二次元コードをカメラ付きトークンで読み取ると、送金の依頼内容とトランザクション認証番号(可変パスワード)がトークン上に表示されます。
A内容に問題が無いことを確認し、上記@の可変パスワードをパソコン上で入力し、認証します。
- トランザクション認証が必要な操作・お取り引き
-
- ・振込振替(都度指定)の最終承認(承認なしの場合は確定時)
- ・総合振込及び給与・賞与振込の承認時
- ・ペイジー(民間企業向け払込み)
- ・利用者管理(ユーザ追加・変更 等)
- ・カメラ付きトークンの管理(失効 等)
- ご留意いただきたい事項
-
- ・2016年6月20日(月)〜2016年7月3日(日)は移行期間です。移行期間中は、従来の認証方法(ワンタイムパスワード、メール通知パスワード、二経路認証)のままでもご利用いただけますが、なるべく早めにトランザクション認証の初期設定をお願いいたします。
- ・2016年7月4日(月)からは、資金移動や管理業務の一部(※)を除き、トランザクション認証が必須となります。従来の認証方法ではご利用いただけなくなりますのでご留意ください。
- ・カメラ付きトークンは厳重な管理をお願いいたします。万が一、盗難や紛失があった場合は速やかに当行へご連絡ください。
- ・カメラ付きトークンは1契約あたり1個無償にて配布します。また、複数ご契約いただいているお客さまは1個あたり最大8契約まで登録いただくことが可能です。
- ・1契約につき複数のカメラ付きトークンをご利用される場合であっても、1ユーザあたり登録可能なカメラ付きトークンは1つとなります。また各ユーザ毎にカメラ付きトークンを保有されたい場合等は、有償にて追加発行を承ります。ご希望される場合は、6月20日(月)より当行ホームページに掲載する所定の書面にてお申し込みください。
- ・カメラ付きトークンが初期不良や自然故障により使用できない場合は、6月20日(月)より当行ホームページに掲載する所定の書面をご提出いただくことで、新しいトークンと無償交換いたします。
(※)トランザクション認証の利用を必須としない「資金移動および管理業務の一部」とは以下のとおりです。
- ・振込・振替(事前登録方式)
- ・ペイジー(公的機関向け払い込み)
- ・企業管理
- その他
- Q&Aはこちら
本件に関するお問い合わせ先はこちら
以上