オンライン ID を使用すると、オンラインで年齢と身元を証明することもできます。しかし、深刻なセキュリティギャップに関する憂慮すべき報告が現在広まっています。
ハッカーが暴露:オンラインIDは安全ではない
場合によっては、オンライン ID カードを使用できることが合理的です。たとえば、職業安定所はオンライン ID 機能を使用して失業の登録を提供します。ただし、この機能は、年齢や身元を証明する必要がある他のサービスでも有利になる可能性があります。
しかし、あらゆるハッカーが、携帯電話や PC 用のアプリケーションが本来あるべきほど安全ではないことを発見しました。脆弱性により個人情報の盗難が可能になる可能性があります。
この予想屋は、CtrlAlt という偽名でシュピーゲル (ゴーレム経由のペイウォール) に連絡し、オンライン ID カードの脆弱性により、他人のデータを使用して銀行口座を開設できたと報告しました。
攻撃者はいわゆるスプーフィングを使用します
しかし、これは決して不可能ではありません。最後に、連邦内務省のウェブサイトには、「あなたの ID データは常にエンドツーエンドで暗号化されて送信されるため、傍受したり閲覧したりすることはできません。」と記載されています。残念ながら、これは現実とは一致していないようです。
CVE-2024-23674 として知られるオンライン ID の脆弱性を悪用するために、攻撃者はスプーフィングと呼ばれる手法を使用します。スプーフィングの際、犯罪者はシステムをだまして、自分がデータにアクセスできる正規のユーザーであると思わせます。彼らがシステムに侵入すると、すぐに制御を獲得します。
このため、この脆弱性は 10 点中 9.7 のスコアを獲得し、非常に重大であると考えられています。銀行口座は自分の名前で開設できるだけではありません。完全な個人情報の盗難も考えられます。
ユーザーは悪意のあるアプリをロードする必要がある
オンライン ID カードへの攻撃はリモートから実行される可能性があります。しかし、まずユーザー自身が重大な間違いを犯さなければなりません。ハッカーがオンライン ID にアクセスできるようにするには、悪意のあるアプリをダウンロードする必要があります。
連邦情報セキュリティ局はすでにこの恐ろしい報告書に対応している。しかし、専門家によれば、この場合の責任は最終消費者にあるという。
ただし、CtrlAlt の場合は決して解決されていません。結局のところ、攻撃が成功するのは、「PIN エントリが安全でないエンドポイントで発生するため、真のエンドツーエンド暗号化が存在しない」という理由だけです。同氏にとって、「セキュリティの責任をユーザーだけに負わせるのは無責任」だという。
残念ながら、BSI の反応は、オンライン ID を使用したい場合は特に注意する必要があることを意味します。したがって、 この悪質な Android トロイの木馬など、現在の脅威についてよく知っておく必要があります。
出典: ゴーレム、連邦内務省