バンキングアプリの脆弱性

英国バーミンガム大学のセキュリティリサーチチームが、大手銀行のバンキングアプリから脆弱性を発見しています。

Spinner: Semi-Automatic Detection of Pinning without Hostname Verification

http://www.cs.bham.ac.uk/~garciaf/publications/spinner.pdf

対象アプリにはHSBC、NatWest、Co-op、アライド・アイリッシュ銀行などが含まれ、現在は脆弱性が修正されています。

アプリは中間者攻撃を防ぐためのSSLピンニング機能を使用していましたが、今回発見された脆弱性はその回避を可能にするものでした。攻撃者は脆弱性を利用して、ユーザーと同じネットワークに接続し、SSL接続を傍受してユーザー名やパスワード、PINコードなどの認証情報を得ることが可能でした。

SSLピンニングは、不正なSSL証明書を見破るための機能ですが、いくつかのバンキングアプリではこのピンニングでホスト名のチェックをせず、証明書のソースが信頼できるかどうか確認できていませんでした。これにより、ユーザーが操作する画面を攻撃者がハイジャックして認証情報などを入力させる、フィッシング攻撃が可能になっていました。

今回、バーミンガム大学のリサーチチームはSpinnerという自動ツールを開発し、多数のアプリとホストの脆弱性をスキャンしています。大規模なスキャンをIoT向けのスキャニングエンジンCensysを利用して行っています。

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む