フォティーンフォティ技術研究所(以下、FFRI)は、従来型脅威であるID/パスワードの搾取や新しい脅威であるMITB(Man in the Browser)攻撃からWebブラウザを保護するWeb Browsser Protection「FFRI Limosa」の出荷を11月20日より開始すると発表した。

昨今オンライン・バンキングにおける振り込み操作や、オンライン・ショッピングサイトにおけるクレジットカード経由での電子決済がWebブラウザ上で行われており、こうした取引が定着してきたことにより、Webブラウザを取り巻くセキュリティ脅威は深刻化してきている。

その中でも、従来型の脅威としてキーロガーに代表されるようなID/パスワードの漏えいや"なりすまし"による被害といった認証時の情報漏えいへの対策としてはソフトウェアキーボードやワンタイムパスワードなどの対策がとられてきた。

オンラインの脅威: 従来の脅威と新しい脅威

一方、新しい脅威としてMITB攻撃(正式なログイン認証後にマルウェアがブラウザに干渉し、ブラウザの正しいセッションに便乗して不正操作を紛れ込ませるというもの)が顕在化し、例えばオンライン・バンキングにおいてログイン完了後に偽画面を表示して暗証番号等の個人情報を入力させて搾取したり、振り込み操作を行った際に、指定した振込先ではなく、攻撃者の口座へ振り込まれるように情報をWebブラウザ上で書換えてしまったりするような被害が欧米を中心に発生している。

正式なログイン認証後の"正しい"セッションに不正操作を紛れ込ませるMITB攻撃は、認証を強化するような従来型の対策だけでは守り切れないという現状がある。

FFRIでは新しい脅威であるMITB攻撃に着目して調査・研究を続け、このほど調査・研究結果として新製品「FFRI Limosa」としてリリースする。

同製品は、オンライン・バンキングを提供する金融機関やEC事業者、SNSなどのWebサービス事業者などが管理するWebサーバへ設置することで、サービス利用者のログイン時に自動的にWebブラウザへ適用され、従来型脅威であるID/パスワードの搾取を防御するだけでなく、新しい脅威であるMITB攻撃からもWebブラウザを守る。

複雑なユーザー操作は不要で、ユーザーが特定のWebサイトにアクセスした際に、自動的にWebサーバから「FFRI Limosa」が配布されてWebブラウザへ適用され、Webブラウザを保護する仕組みとなっている。ソフトウェアベースのため低コストで実現でき、大掛かりなシステムの変更が不要で導入できるというメリットがある。

「FFRI Limosa」によるブラウザの保護