トランザクション署名【transaction signature】

概要

トランザクション署名（transaction signature）とは、オンラインバンキングなどで用いられる認証方式の一つで、利用者の手元でハードウェアトークンなどに取引(transaction)の内容を入力し、生成された署名(番号など)を金融機関側に送信する方式。MITB攻撃などを阻止することができる。

オンラインバンキングなどを標的とした攻撃手法として、利用者のコンピュータにマルウェアを感染させ、Webブラウザなどから金融機関に送信される取引情報を不正に書き換えて攻撃者に送金するよう仕向けるMITB（Man-In-The-Browser）攻撃がよく知られる。

トランザクション署名では、あらかじめ利用者側に毎回異なるワンタイムパスワードを生成する装置（ハードウェアトークン）を提供する。装置に振込先や金額を入力すると、対応するパスワードが表示されるため、取引内容の指定時に合わせて記入する。このパスワードがトランザクション署名となる。

もし送信時にマルウェアが不正に取引指示を改竄したとしても、受信した金融機関側で署名を検証すると、改竄された指示内容からは生成されるはずのない番号が記載されているため、不正に書き換えられたものと判断して取引の実行を未然に防ぐことができる。署名は利用者の持つ装置でしか生成できず、マルウェアが辻褄の合うように署名を正しく書き換えることもできない。

(2022.4.26更新)