三菱東京UFJ銀行 MUFG20

404 ：名無しさん：2016/03/07(月) 21:21:44.01 0.net

「トランザクション認証機能」は、

インターネットバンキングの取引実行時に、
送金先の口座番号や送金の金額情報などをスマートフォン上のソフトウエアトークン、
または二次元コード読み取り機能付きハードウエアトークンに表示し、
利用者が目視で送金情報を確認したうえ取引続行の可否を選択できるようにすることで、
マルウエアの送金情報改ざんによる不正送金を未然に防止することが可能となります。
また、取引を行う端末（パソコンなど）と、送金情報を表示・確認する端末を分けることで、
マルウエアによる改ざん手段を問わず不正を検知することが可能となります。
これにより、利用者は利便性を損なわずに安心してインターネットバンキングを利用できるほか、
金融機関においても不正送金が行われた際の補償リスク等を低減することが可能となります。




トランザクション認証を回避して不正送金する方法

まずはじめに、この記事が不正送金を誘発してしまうデメリットより、
この方式の欠点を理解してもらうことで被害にあわないことのメリットのほうが大きいと考えています。
またここで書いた方法が間違っていない保証がないことをご了承ください。

2015年1月19日、みずほ銀行がトランザクション認証を導入することを決めたようです。
トランザクション認証とは、振り込み先番号をメッセージ認証コード
(Message Authentication Code:MAC）を使って、ウィルスによる改ざんを防ぐ仕組みです。
ところが、そもそも人間が振り込み先番号を間違ってしまうと、トランザクション認証では 防げないのです。

例えば、ネットショップで商品を購入してメールで振り込み先の番号が届く場合、
ウィルスがメールの振り込み先番号を改ざんしてしまえば、いいわけです。
さらにウィルスは振り込み金額も改ざんできるので、100円を送金したつもりが 1億円の不正送金をしてしまうのです。

かなり簡単に不正送金ができて、大きな被害がでることが、わかったと思います。