コーポレートバンキングにおけるソーシャルエンジニアリング攻撃:PKIとWYSIWYSソリューション

最近のソーシャルエンジニアリング攻撃

コーポレートバンキングにおけるソーシャルエンジニアリング詐欺とは、中小企業や大企業に対する現金管理、与信管理、資産管理、引受などの分野において、不正なデジタル操作や取引を実行するよう設計された、広範囲にわたる悪意のある操作を指す用語です。

ソーシャルエンジニアリング(コンピューターを利用した)攻撃が特に悪質なのは、システムの脆弱性ではなく、誤った解釈やルーティン、過度の信頼といったミスを犯しやすい人間の要素を悪用するからです。

デジタル社会における金融機関に対する最近のソーシャルエンジニアリング攻撃には、次のようなものがあります:

  • 委任された口座名義人や署名者になりすまし、彼らに代わって詐欺行為を行う
  • これらの委任されたユーザーによって署名された場合、操作の内容や目的を変更する

Gemalto PKI Software Suiteには、レガシーPKIインフラ向けにより防御的な機能を開発するための補完的なソリューションが含まれています。

認証、暗号化、署名。フォームファクターは問いません。 

Thales Gemalto PKIソリューションは、企業資産を安全に守ります。

これらのソリューションはコーポレートバンキングに対応し、リテールバンクの顧客向けに開発されたデジタルバンキングセキュリティソリューションを補完するものです。

署名するものを理解する(UWYS)

Gemalto Swatは、電子銀行口座管理(eBAM)、自動決済機関(ACH)の活動、電信送金、銀行間決済において、顧客や子会社に最高クラスのセキュリティを提供したいコーポレートバンク向けのハイエンドソリューションです。

署名デバイスであるGemalto Swatリーダーは、既存のPKIシステムに適合させることができ、すべてのPKI署名操作中にコンテキスト制御とデバイス認証を実行します。

このソリューションにより、金融機関は、あらゆる機密操作をコンテキスト記述と結び付け、コンテンツ(見る:WYSIWYS)と操作の目的(理解する:UWYS)の両方の整合性を保証することができます。

以下のケースでは「あなたは350米ドルに相当する52件の取引に署名しています」。

UWYS(Understand What You Sign:署名するものを理解する)体験を署名者に提供し、使いやすさとモビリティを重視しながら、最先端のMitB(Man in the Browser )攻撃やソーシャルエンジニアリング攻撃を軽減します。

    Gemalto Swat Reader
    Gemalto Swat Reader

    Gemalto Swat Reader

    この署名デバイスは、既存のPKIシステムに適合させることができ、すべてのPKI署名操作中にコンテキスト制御とデバイス認証を実行します。

    • 組み込み型のセキュアエレメント処理デバイス認証および表示テキスト署名
    • 安全なPIN入力
    • 署名の用途を説明する大型ディスプレイ
    • USBまたはBLE接続
    • PC、携帯電話、タブレット対応
    Gemalto eToken 5300
    Gemalto eToken 5300

    Gemalto eToken 5300

    従業員にとって便利なソリューションを維持しながら、PKIの高いセキュリティを導入したい企業にとって理想的なソリューションです。

    • 三要素認証(3FA)を実現する、存在検知機能付きのコンパクトな耐タンパーUSB
    • デジタル署名、メール暗号化、プリブート認証などの高度な証明書ベースのアプリケーション
    • VPN、Webポータル、安全なネットワークログオンへの安全なリモートアクセス
    • 2種類のサイズ展開:MiniまたはMicro

    Gemalto eToken 5300は、レガシーPKIシステムを強化するための三要素認証スマートトークンです。

    WYSIWYS(What You See Is What You Sign:あなたが見るものはあなたが署名するもの)

    WYSIWYSとは、電子文書とその電子署名の完全性を目に見える形で保証する機能的な方式を指します。

    実のところ、署名者は、自分がデジタル署名したものを実際に見ることはありません。

    署名者が見るのは、電子文書と電子署名の表示だけです。このプロセスは、デジタル署名の実装の基礎となる技術によるものです。文書とその署名はビットの集合にすぎません。

    では署名者は、ブラウザ上で読むメッセージが本物で、正しい情報源からのものであり、表示される内容に同意していることを、どのようにして確認できるのでしょうか?

    「見て理解する」署名を完全体験

    主要なブラウザサプライヤーが推進する新しいWeb拡張技術であるGemalto Websignerを使用することで、Swatソリューションにより、最近のChrome、Firefox、Edgeブラウザ上で、完全なWebベースのWYSWYSおよびUWYS署名体験を提供することができます。

    Web Signer

    Swatデバイスは、安全なPIN入力(SPE)を可能にする標準的なPINパッドを備えており、PKIスマートカードを使用して通常の暗号処理を実行できます。

    その上、Swatデバイスによって、署名者は、特定のソーシャルエンジニアリング攻撃を軽減するために、署名を要求された内容を正確に理解することができます。

    この機能はUWYSのコンセプトであり、次の3つの特徴に基づいています:

    1. 安全なPINコード(PINログインマルウェアやリプレイを阻止)
    2. 銀行PKI署名制御と同期した、署名者による操作の詳細のWYSWYS制御(MitBやMitMを阻止)
    3. 署名者によるコンテキストのUWYS制御(ユーザーを欺くソーシャルエンジニアリングやHTMLインジェクションを阻止)

    コーポレートバンキング規格への準拠

    ご紹介したソリューションは、金融機関により求められる以下のような主要規格にも完全に対応しています:

    専門家に相談する
    PSD2

    IAM Trends

    75% of decision-makers surveyed in our research study conducted by Enterprise Strategy Group said legacy identity tech is holding back innovation.

    Learn the latest IAM trends
    ciam trends bfsi research ebook
    Gemalto Swat Solution

    注目のリソース

    Gemalto Swatソリューション

    ソーシャルエンジニアリングや最新技術を駆使した攻撃から、コーポレートバンクの顧客を保護する方法とは?

    ソリューション概要をダウンロード
    Partners Resources Blogs Sentinel Drivers