RSA SecurIDハードウェア・トークン交換？ | スラッシュドット・ジャパン Submission

RSA SecurIDハードウェア・トークン交換？ 35

タレコミ by 774THz 2011年06月07日 18時17分

774THz 曰く、

ソースはWSJと日経の目立たないベタ記事のみだが、クラッキングへの対処のためにRSAのSecurIDハードウェア・トークン交換という事態になるそうだ．（WSJの記事にハードウェア・トークンの写真あり）

ハッカーがＲＳＡから盗んだデータを攻撃に使用（WSJ　http://jp.wsj.com/IT/node_246756
米で使い捨てパスワード情報盗難、端末4000台交換へ　http://www.nikkei.com/news/headline/article/g=96958A9C9381959FE2E5E2E0E58DE2E5E2E4E0E2E3E39790E0E2E2E2

RSAのハードウェア・トークンは信頼性の高いタンパー・フリーのハードとして扱われてきたが、RSAセキュリティのシステム側が攻撃を受けてワンタイム・パスワードの技術情報が盗まれてしまい、実際に軍需大手のロッキード・マーチンへのシステム侵入事例があったという．　業界的にはPSNの一件以上のショッキングな事件ではないだろうか？　日本でも金融、証券関係などのシステムにも用いられていたはずなので、どこまで影響が及ぶのか気になるところである．（たしかハードウェア・トークン使ってるから絶対安心と宣伝してたところも）

#トークンがタンパー・フリーでも、結局はシステム側を攻められれば終わりなのか........

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

すべてのコメント取得

検索35コメント Log In/Create an Account

日経さんのは飛ばし記事？ (スコア:3, 参考になる)

by Anonymous Coward on 2011年06月08日 10時55分 (#1966670)
EMC から訂正が出ています。
http://japan.rsa.com/node.aspx?id=3874 [rsa.com]
1. 「端末4000万台交換へ」 → 全数交換するということではありません。
2. 「交換は原則無償だが、一部費用の負担を求める場合もある」 → 費用については一切言及しておりません。
3. 「米セキュリティ対策大手RSAセキュリティは」 → 正式名称は RSA， The Security Division of EMC です。
# 何をソースにして記事を書いたんでしょうか…(社名についてはたぶん ja.wikipedia.org)
- Re:日経さんのは飛ばし記事？ (スコア:2)
  
  by 774THz (34338) on 2011年06月08日 11時08分 (#1966681)
  
  日経の「端末4000万台交換へ」はさすがに怪しいと思って、元のタレ込み文には入れてなかったのですが‥‥
  さすがに全顧客に対して共通のトークン生成アルゴリズムは使ってないでしょうね
  #会社名は確認忘れてました
  
  親コメント
  - Re:日経さんのは飛ばし記事？ (スコア:2, 参考になる)
    
    by Anonymous Coward on 2011年06月08日 12時13分 (#1966746)
    
    WSJ の記事ではコビエロ氏へのインタビューをソースにしているようですが，
    こちらは「ほぼすべてのトークンの交換を申し出る」となっていますね。
    （口を滑らせたという部分もあるのかも。）
    「申し出るけど全部交換しないといけないわけじゃないよ，でも全部交換する
    くらいの対応はしたいと思ってるよ」という機微をうがつことが大事なんでしょうね。
    社名については，WSJ でも「米EMCの子会社 RSAセキュリティ」としていますが，
    EMC の名前が出ているので許容範囲なのかな。
    通称としては自身でも使っているので「RSA」で問題ないと思いますが，RSA
    アルゴリズムと混同されやすいので，記者が気を利かせたつもりだったのでしょう。
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    全顧客に対して「共通のトークン生成アルゴリズム」を使っていますよ。
    
    だから大問題なんじゃ無いですか。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そしてウィキペディアが日経新聞を「出典」として変な社名を正当化するんですね。なんというソースロンダリング
  - Re:日経さんのは飛ばし記事？ (スコア:1)
    
    by doda (31157) on 2011年06月08日 11時36分 (#1966702) 日記
    
    RSAセキュリティはEMCに買収される前の名前であって、古いだけで別に変な名前というわけではないですね。
    ただ単にウィキペディア(ja)の記事が更新されていないだけで、日経の記事を元にして正当化するなんて事も無いでしょう。
    通称ならばともかく、新聞記事を正式な名称の出典として使う事は通常はないですし、
    新聞記事を間違った社名の正当化に使う人がでても変な人として扱われるだけでしょう。
    
    親コメント
ジャパンネット銀行 (スコア:1, 参考になる)

by Anonymous Coward on 2011年06月08日 10時24分 (#1966645)

私の持っている限りでは、ジャパンネット銀行のトークンがRSAですね。
まだHPにはなにもアナウンスは無いようですが。
- Re:ジャパンネット銀行 (スコア:2)
  
  by shinshimashima (9763) on 2011年06月08日 10時58分 (#1966672) 日記
  
  初期のトークンがそろそろ寿命なんで、それに合わせた対応があるのかな？
  
  親コメント
  - Re:ジャパンネット銀行 (スコア:2, 興味深い)
    
    by vzg02111 (4390) on 2011年06月08日 12時26分 (#1966759)
    
    初期のトークンがそろそろ寿命なんで、
    既に交換来ちゃったし、新トークンも銀行側に登録しちゃいましたがな。
    RSAへの侵入事件発覚（3月）以降のトークンは大丈夫とかなら良いんだけど、ロッキード・マーチンへの侵入（5月下旬）云々以降まで手を打たなかったとすれば、また交換になるのかなぁ…。
    # そして旧トークンの捨て方に四苦八苦している罠（笑）。
    # 基本は燃えないゴミなんだろうけど…電池は抜くんだよねぇ？壊さなきゃダメかぁ…（苦笑）。
    
    親コメント
    - Re:ジャパンネット銀行 (スコア:3, 参考になる)
      
      by nkz (4739) on 2011年06月08日 14時39分 (#1966846)
      
      【トークンの有効期限を迎えるお客さま】切替後、前に使っていたトークンはどうやって捨てたらいいですか。 [japannetbank.co.jp]
      
      親コメント
      - Re:ジャパンネット銀行 (スコア:1)
        
        by vzg02111 (4390) on 2011年06月08日 17時05分 (#1966948)
        
        ありがとうございます。
        私も返送するものだとばっかり思っていたんですがねぇ。
        新トークンと一緒に来たちらしにも「お客様の責任で捨てて頂戴な」って書いてありました。
        ワンタイムパスワードという性格上、捨てたのを拾われて云々みたいなセキュリティ的な問題は少なそうですけど、逆に（#1966899 [slashdot.jp]さんの言うように）、壊れないようになっているものなわけで、それを単純に普通のゴミのルートに載せていいものなのかどうか、疑問に思っていたところだったんですよねぇ。
        （念のため、お住まいの自治体の指示をご確認ください）
        ですって。
        と言うことは、ウチの自治体のゴミ捨ての…あちゃ。
        乾電池だろうがボタン電池だろうが、不燃ゴミではなく特定ゴミ（2ヶ月に1回、電池なら電池で分別回収）だわ…。
        電話とかで詳細を説明しても埒は明かないだろうしなぁ。
        黙って不燃ゴミに混ぜちゃうか（笑）。
        # 結局、#1966899 [slashdot.jp]さんの言う「オレンジ色っぽい樹脂の充填剤」ってのを破らないといかんのかも。
        # 模型用のレザーソーでゴリゴリやるか。
        # いっそキーホルダー（のようなもの）として使ってしまうか（今のところ、こっちが有力。笑）。
        
        親コメント
    - Re:ジャパンネット銀行 (スコア:1, 参考になる)
      
      by Anonymous Coward on 2011年06月08日 16時11分 (#1966899)
      
      表面のプラスチックと内部構造の間が別途オレンジがかった透明な樹脂で充填されていて、容易には壊せませんでした。
      電池も基盤もチップも完全防御です。
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      近々交換になるから、古いのはどうなるんだろう?
      返送用の封筒が入っているに違いない!!
      と思ってたんだけど、自分で処分しろなのか。
      それでいいのかよ、JNB
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      ＞# そして旧トークンの捨て方に四苦八苦している罠（笑）。
      
      堂々とオークションに出してみたら？（おっと，堂々と煽っていいのか）
      チップ開封してリバース・エンジニアリングにチャレンジしてみたいというスーパー・ハッカーがいるかもしれない
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    うちも案内来てた。
    どっちにしろ交換だなぁ。
- Re:ジャパンネット銀行 (スコア:2, 参考になる)
  
  by Anonymous Coward on 2011年06月08日 13時51分 (#1966825)
  
  米国RSAセキュリティの「使い捨てパスワード」に関する報道について
  http://www.japannetbank.co.jp/news/general2011/110608.html [japannetbank.co.jp]
  
  親コメント
- Re:ジャパンネット銀行 (スコア:1, 参考になる)
  
  by Anonymous Coward on 2011年06月08日 10時28分 (#1966649)
  
  三井住友もね
  
  親コメント
  - Re:ジャパンネット銀行 (スコア:1)
    
    by shesee (27226) on 2011年06月08日 11時38分 (#1966706) ホームページ日記
    
    トークン自体が有料サービスなんでさすがに無料交換・被害保証付きだよな
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      http://www.asahi.com/science/update/0608/TKY201106080367.html [asahi.com]
      同システムをオンラインバンキングで使っている三井住友銀行は「口座が不正使用されることはない」としているが、顧客の求めがあればパスワード生成器の交換に無料で応じることを決めた。
      どこに問い合わせればいいんだ？
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        三井住友銀行じゃないですか?
  - SMBCにお問い合わせメール出してみた。(was Re:ジャパンネット銀行 (スコア:0)
    
    by Anonymous Coward
    
    返事があるか？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  元ACですが、とりあえずジャパンネット銀行は大丈夫なようです。
  米国RSAセキュリティの「使い捨てパスワード」に関する報道について [japannetbank.co.jp]
  
  #相当問い合わせがあったんだろうなあ
オレオレ、RSAなんだけど (スコア:1, おもしろおかしい)

by Anonymous Coward on 2011年06月08日 10時25分 (#1966647)

SecurIDがハクられちゃってさぁ、交換するから携帯電話を持って最寄りのATMまで…。
え、本物のRSAなのかって? バカだなあ。そんなのSecurIDを確認すれば一目瞭然じゃないか。
漏れたもの次第ですが (スコア:0)

by Anonymous Coward on 2011年06月08日 10時16分 (#1966641)

選択肢のうちの後者に以下のがあります
> 認証手続きの強化で対処する
これって具体的にやれることって何かあるんでしょうか?
OTPやられたってことは，なにかしらシード・ID情報が
漏れてしまったと考えるのが妥当なんですよね?
その場合はOTP以外を採用・追加する以外に
出来ることってなにもない気がするんですが．
ナニが漏れたのか公式には明らかでない状態のようなので
まあなんともいえないのかもしれませんが
- Re: (スコア:0)
  
  by Anonymous Coward
  
  他社のシステムを併用する、あるいは乗り換える。
RSA暗号かと思った。 (スコア:0)

by Anonymous Coward on 2011年06月08日 10時38分 (#1966657)

それにしては技術情報漏洩とか変だなと思ったら
スマートモバイル向けワンタイム・パスワードソリューションとかやっている、
RSAセキュリティっていう会社なんだ。
http://japan.rsa.com/node.aspx?id=1003 [rsa.com]
そんな重要な会社がどうやって、システムに侵入されたんだろうか。
- Re:RSA暗号かと思った。 (スコア:3, 参考になる)
  
  by doda (31157) on 2011年06月08日 11時04分 (#1966677) 日記
  
  挙げられているリンク先にも書かれていますが、RSAはEMCに買収されて、EMCの一部門になっています。
  そしてRSAのネットワークもEMCのネットワークに繋がったのだけれど、EMC側のセキュリティが甘くてそちらから侵入されたという事らしいです。
  
  親コメント
- Re:RSA暗号かと思った。 (スコア:1)
  
  by nim (10479) on 2011年06月08日 17時45分 (#1966976)
  
  RAS暗号を開発したR（Ron Rivest）さんとS（Adi Shamir）さんとA（Leonard Adleman）
  さんが設立した会社ですね。意味は同じです。
  
  親コメント
- Re:RSA暗号かと思った。 (スコア:1, 参考になる)
  
  by Anonymous Coward on 2011年06月08日 20時30分 (#1967050)
  
  RSAともあろう企業がお粗末ですわ。
  RSAがどのように攻撃されたかを説明 [blogspot.com]
  
  不用意に添付ファイルを開いちゃったんだって...
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    一番の感想は、
    ま　た　A　d　o　b　e　か　！　！
    # AppleはもうすこしAdobeと殴り合いをして欲しかった・・・。
    # Apple沈んでも痛くはないし、Adobeは沈んだほうが世の為になるし。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ソニーだってあの体たらくですから。
    「我が社のセキュリティは万全です(キリッ」→直後にまた侵入→最初に戻る
    繰り返しはコントの基本とはいえさすがにそろそろ飽きてきた
セキュリティの意味って (スコア:0)

by Anonymous Coward on 2011年06月08日 12時12分 (#1966744)

漏れたのはわかっていたのに実害が出るまで何もしないんだと、
セキュリティの意味が無いように思うんだが・・・
ひっくり返すと危険 (スコア:0)

by Anonymous Coward on 2011年06月08日 13時53分 (#1966826)

WSJ [wsj.com]の方の記事のトークンを見て「101hLOL」と入力してはいけません。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  最近起きた６億円事件もそうだけど、なんかセキュリティの意味をはき違えてる人が多いような気がしてならない。結局最高のセキュリティ（安全保障）は武器を持った兵によって担保されるんだなと。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

RSA の技術情報漏洩、SecurID 交換へ More ログイン

日経さんのは飛ばし記事？ (スコア:3, 参考になる)

Re:日経さんのは飛ばし記事？ (スコア:2)

Re:日経さんのは飛ばし記事？ (スコア:2, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re:日経さんのは飛ばし記事？ (スコア:1)

ジャパンネット銀行 (スコア:1, 参考になる)

Re:ジャパンネット銀行 (スコア:2)

Re:ジャパンネット銀行 (スコア:2, 興味深い)

Re:ジャパンネット銀行 (スコア:3, 参考になる)

Re:ジャパンネット銀行 (スコア:1)

Re:ジャパンネット銀行 (スコア:1, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:ジャパンネット銀行 (スコア:2, 参考になる)

Re:ジャパンネット銀行 (スコア:1, 参考になる)

Re:ジャパンネット銀行 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

SMBCにお問い合わせメール出してみた。(was Re:ジャパンネット銀行 (スコア:0)

Re: (スコア:0)

オレオレ、RSAなんだけど (スコア:1, おもしろおかしい)

漏れたもの次第ですが (スコア:0)

Re: (スコア:0)

RSA暗号かと思った。 (スコア:0)

Re:RSA暗号かと思った。 (スコア:3, 参考になる)

Re:RSA暗号かと思った。 (スコア:1)

Re:RSA暗号かと思った。 (スコア:1, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

セキュリティの意味って (スコア:0)

ひっくり返すと危険 (スコア:0)

Re: (スコア:0)