ネットバンキング等のセキュリティ

ニュースで見ると、ネットバンキングなどに絡む犯罪って、
銀行の契約社員がパスワードを盗んだ、とか、ネットカフェに
キーロガーを仕込んだ、とかアナログ的なことばかりですよね。
暗号化されてインターネット上で送受信されている口座番号等の
情報は、経路の途中で読み取ったりできるんでしょうか？
また、そういった犯罪は起きているのでしょうか？

No.7 回答者： magmagmag 回答日時： 2005/03/25 17:44

webで操作するネットバンキングの場合

通信、SSL128BITにて通信。
情報は暗号化されているため、傍受された
としても、解読に○億年かかる計算になる。
（高性能PCの並行処理だと、解読時間は序所に短くなる）
SSL証明書の期限が切れていたりすると危険

ATM編
回線上に装置を取り付けたりすると
さくっと情報は漏れる。
でも、データ内容は不明なため解読関係は説明不可

webの場合は
ブラウザのアップデート等を頻繁にしていれば
恐らく無問題。

ATM編
狙われるのはカードなので
やられるとしたらスキミングや
利用明細からの情報漏洩なので
ATMの外面への警戒や
利用証明を必ず持ち帰る
をすれば、無問題。

No.6 回答者： kuma-ku 回答日時： 2005/03/05 22:45

なんか変な方向に進んでいって、、、、。

銀行のATM は専用線で結ばれています。
インターネットは介しておりません。

元々専用線とは通信を対地ごとに行うため、セキュリティに関しては安全とされるものです。
そのため、セキュリティに関して暗号化の処理を省くところがあります。
現在は、たとえ専用線でも暗号化処理を行うようになってきていますが。。。

このため、AMT 装置のスキミングはSSL などの暗号化の話とは少し異なってきてしまいます。

また、通信データのキャプチャ(取得)については、復号化処理することは、理論上可能ですが実際それを行うことは不可能です。
特にインターネット内で通信データをキャプチャし、解析を行うとなると、暗号化を解くための条件があまりに多すぎます。鍵データの取得、復号化鍵の計算、通信データを全て取得、全通信データの復号化などなど。

また、NW 業界内ではSSL128bit は、まだ安心して通信できる通信手段としてまかり通っています。
さもなければ、金融取引を行うサイト間の通信で、かつインターネットを使用する際に、なぜSSL が利用されるのでしょうか？

それしか手段は無いとしても、他の暗号化手段の早急なるリリースが行われないと言うことは、まだまだ安全な手段であることの証明です。

実際問題、暗号化が解かれるというのは、あくまで何らかの方法で鍵を生で入手し無い限り、通信データのみの解析だけでは、不可能です。

LAN 内で盗まれると言うのも、非暗号化通信やソーシャルハッキングによる、成りすましのログインで被害を受けるというのが実際のところです。

No.5 回答者： nbd00115 回答日時： 2005/03/05 22:12

ATMでさえ、回線上にある装置を取り付けると

離れた場所から通信内容全てを傍受できる装置が
すでに販売されているそうですから、LANでも
同様な事は、可能と思われます。

No.4 回答者： hoihence 回答日時： 2005/03/05 16:40

他の回答者の方は知らないみたいなので答えます。

>経路の途中で読み取ったりできるんでしょうか？

できますよ。SSLであっても内容がわかってしまうソフトがあるのを記事で読んだことがあります。特にLAN環境からのネットバンキング利用は危険性があるみたいです。スイッチングハブの環境であってもわかっちゃうみたいです。

>そういった犯罪は起きているのでしょうか？

個人的には聞いたことがないです。ただ、既にお分かりのように、可能性は十分にあります。

予断ですけど、2～3日前の日テレの夕方のニュースの中の特報で、ATMのオンライン回線の途中にスキミング装置を取り付け、電波で飛ばして、近くの車中とかでデータをキャッチするというのをやってました。例によって、顔を映してないその筋に詳しい人とかが出てきて、その機械は既に出回っていて、大量の発注があるって言ってました。答えていた人は受注業者の人ではないようでした。

No.3 回答者： kuma-ku 回答日時： 2005/03/04 19:37

こんばんは

現状、HTTPS の通信で普及しているSSL 128bit は暗号は、相当強固な暗号化手段の一つです。

逆を返せば、この暗号が破られると、インターネット上での通信に大きな障害を引き起こしてしまいます。

実際問題、128bit のSSL が破られて犯罪が起きたと言う話は聞いたことがありません。
他人のパスワードを盗み見たり、生年月日等から推測されたり、ソーシャル的な対応の方が、現状は簡単だとされているようです。

以前、NS の不具合でSSL の暗号が破られた事もあるようです。
http://www.ritsumei.ac.jp/acd/mr/i-system/rainbo …

また、SSL暗号通信を解読するスパイウェアがいるようです。
http://www.itmedia.co.jp/enterprise/articles/041 …

No.2 回答者： UsadaYusuke 回答日時： 2005/03/04 15:19

まず一般論として、解読不可能な暗号というのは存在しません。

コンピュータを使って総当りで計算させるなどすればいつかは解けてしまうものです。
安全な暗号とは、非現実的に長い時間をかけなければ解読出来ないような工夫をするなどしてある暗号のことを言います。
ただしコンピュータの性能は年々上がっており、それにつれて昔は安全(つまり解読がほとんど不可能)だった暗号も、解読の意味があるほど短期間で解けてしまうようになったりもします。

SSLももちろん例外ではなく、過去には40bit(英数40文字分の長さ)の暗号鍵がポピュラーでしたが、これは現在のPCの処理能力では数時間で解けるとも言われております。一方、最近InternetExplorerやNetscapeで使われている128bitの暗号鍵は解読するのに数百兆年かかるということになっています。

ということで、まずは安心なさってください。

が、お使いのPCに不正なスパイウェア(ユーザーの手によりインストールされるがユーザーの望まない動作を含むプログラム)が入ってしまった場合、暗号を破られる可能性もあるということですので、ご注意ください。
(下記URL参照)

参考URL：http://www.itmedia.co.jp/enterprise/articles/041 …

No.1 回答者： 10gate 回答日時： 2005/03/04 15:04

こんにちは。

口座番号など重要情報のやりとりをする場合、サイト側（この場合は銀行）がSSLという特別な通信手段を使います。
この時、アドレスが
https://～
とhttpの後にsが付いているはずです。

この状況下で途中の通信を読み取り解読する事は一般的には非常に困難だと言われています。

「どれくらい困難か」については、あくまで私個人が持っているイメージですが、
世界で一番優秀なコンピュータで何年も解読に費やして、口座番号がわかり、さらに数年（数十年かも）費やしてパスワードがわかり・・
という感じでしょうか。

要するに技術的に100%安全ではないが、一般の悪意を持つ人が盗み見するにはコストパフォーマンスが悪すぎる、という事です。

もし私が悪人なら、通信を盗み見して解読するより、間違いなく鍵のあいている家を探すでしょう。


httpsの通信を盗み見され、解読されたというニュースは一度も聞いた事がありません。