英国バーミンガム大学のセキュリティリサーチチームが、大手銀行のバンキングアプリから脆弱性を発見しています。
Spinner: Semi-Automatic Detection of Pinning without Hostname Verification
http://www.cs.bham.ac.uk/~garciaf/publications/spinner.pdf
対象アプリにはHSBC、NatWest、Co-op、アライド・アイリッシュ銀行などが含まれ、現在は脆弱性が修正されています。
アプリは中間者攻撃を防ぐためのSSLピンニング機能を使用していましたが、今回発見された脆弱性はその回避を可能にするものでした。攻撃者は脆弱性を利用して、ユーザーと同じネットワークに接続し、SSL接続を傍受してユーザー名やパスワード、PINコードなどの認証情報を得ることが可能でした。
SSLピンニングは、不正なSSL証明書を見破るための機能ですが、いくつかのバンキングアプリではこのピンニングでホスト名のチェックをせず、証明書のソースが信頼できるかどうか確認できていませんでした。これにより、ユーザーが操作する画面を攻撃者がハイジャックして認証情報などを入力させる、フィッシング攻撃が可能になっていました。
今回、バーミンガム大学のリサーチチームはSpinnerという自動ツールを開発し、多数のアプリとホストの脆弱性をスキャンしています。大規模なスキャンをIoT向けのスキャニングエンジンCensysを利用して行っています。
この記事の執筆・監修者
岡山 大
三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
- 関連トピックス:
- 先端技術セキュリティ
