インテル® アイデンティティー・プロテクション・テクノロジー(インテル® IPT)とは
企業内のネットワークにインターネットから接続するVPNを利用する場合、セキュリティを高めるため、1回限りしか利用できないワンタイムパスワードなどを利用することが多いです。
又、機密性の高い文書やメールを暗号化/復号したり、機密文書やメールに電子署名したりするためにも、セキュリティの高いワンタイムパスワードを利用することがありました。
ワンタイムパスワードの生成には、トークンIDを記録したハードウェアキーを必要とするので、多くの場合は、専用のUSBデバイスが利用されていましたが、専用のデバイスを利用するのはコストもかかるし、利用する手順が面倒でした。
そこで、ワンタイムパスワードの生成機能をプロセッサ側に組み込んでしまおうというモノが、
「インテル® アイデンティティー・プロテクション・テクノロジー」です。
PC のファームウェアに格納されている秘密鍵を使用することで、よりセキュアな方法でユーザー承認を行うことができます。
以下、インテルHPより引用させて頂きました。
インテル® アイデンティティー・プロテクション・テクノロジーの仕組み
OTP 対応インテル® IPT
インテル® IPT は、Web サイトやネットワークのアクセスポイントを保護する機能に加え、暗号化に対応した I/O テクノロジーとしてプロテクテッド・トランザクション・ディスプレイもサポートしています。プロテクテッド・トランザクション・ディスプレイは、OTP または PKI に対応したインテル® IPT と連動して動作します。ユーザーの存在確認、トランザクションの検証、さらには資格情報を発行する前にも安全な PIN 入力を行えるようにすることで、マルウェアによるスクレイピングから PC の表示内容を保護します。
プロテクテッド・トランザクション・ディスプレイを備えたインテル® IPT によって入力の保護とユーザーの存在確認が行われる仕組み >
PKI 対応インテル® IPT
イ ンテル® IPT が、アクセスポイントの保護に使用している、もう 1 つの方法は公開鍵基盤 (PKI:Public Key Infrastructure) です。すでに PKI を使用してアクセスポイントを保護している企業では、インテル® IPT を併用することでさらなるメリットが生まれます。インテル® IPT では、OTP の資格証明情報と同様に、PKI 証明書もチップセットに内蔵されます。ハードウェア・レベルの強力なセキュリティーを提供するインテル IPT によって、企業は従来のスマートカードやトークンストレージのための追加コストを削減できます。
PKI 対応インテル® IPT によってマルウェアからの保護が強化される仕組み >
プロテクテッド・トランザクション・ディスプレイ
イ ンテル® IPT は、Web サイトやネットワークのアクセスポイントを保護する機能に加え、暗号化に対応した I/O テクノロジーとしてプロテクテッド・トランザクション・ディスプレイもサポートしています。プロテクテッド・トランザクション・ディスプレイは、OTP または PKI に対応したインテル® IPT と連動して動作します。ユーザーの存在確認、トランザクションの検証、さらには資格情報を発行する前にも安全な PIN 入力を行えるようにすることで、マルウェアによるスクレイピングから PC の表示内容を保護します。
プロテクテッド・トランザクション・ディスプレイを備えたインテル® IPT によって入力の保護とユーザーの存在確認が行われる仕組み >
チームメンバー(hideさん)作の漫画解説を、引用させて頂きました。
結論からゆうと、インテル® IPT対応認証システムが、日本国内利用者向けには、あまり普及していませんでした。
実施検証編
現在私が利用している、ネットバンキングでは、以前からセキュリティー関係は良かったと思っていますので、紹介します。
ジャパンネット銀行
http://www.japannetbank.co.jp/security/security/otp.html
こちらは、以前からトークンによるワンタイムパスワード方式を採用していました。
セキュリティー的には完璧に近い状態だと思いますが、
いかんせん、コンパクト軽量のトークンですが、いちいち携帯していないと、いけません。
三菱東京UFJ銀行
http://direct.bk.mufg.jp/secure/index.html
以前は、契約番号、ダイレクトバンキング専用パスワード(ダイレクトパスワード)やインターネットバンキング専用パスワード(IBログインパスワード)に加えて、「契約カード」を使い、毎回異なった「確認番号」を入力することで、本人確認を行っていましたが、最近では登録した、Eメールアドレスに通知される、使い捨てのパスワード(6桁の数字)の入力が求められるようになっています。
上記の様なセキュリティ対策を、プロセッサ側に組み込んでしまおうというモノが、「インテル® アイデンティティー・プロテクション・テクノロジー」ですので、早速検証してみます。
プログラムのインストール
インテルIPT のプログラムを使用するには、ドライバーディスクの Software フォルダーの中の Applications フォルダーの中の Intel_IPT_Installer フォルダー 内
の Setup_Intel_IPT_1.1.2.0.exe を実行します。
インストール完了しましたが、アイコンが出来るわけでもなく、本当にインストール出来たか不安ですので、 コントロールパネルのプログラムのアンインストール欄を見て確認しまた。
インテル® IPTを使用する為の要件は、次の3つの条件を満たす必要があります。
1インテル® IPTに対応している第2世代インテル® Core™ プロセッサー・ファミリー搭載PC以上を使用する。
2アクセス対象のWebサイト、VPN、またはSaaSアプリケーションが、サービスに対応している必要があります。(サービスは、SymantecまたはVascoなどによって提供されています。)
3この形式のセキュリティーはオプションサービスとして提供されるため、ユーザーは、アカウントの認証にPCを関連付けることを能動的に選択する必要があります。
ここで、ワンタイムトークンを利用したサービスを利用出来るのは、シマンテックなどのセキュリティー会社のサービスを採用している、ネットバンキング、通販企業のHPをアクセスする場合であり、インテルIPTは単体では機能するわけでは無いので、シマンテックのサービスが使われているサイトでの利用が、現実的です。
VIP ACCESSの利用可能なサイト
https://idprotect.verisign.co.jp/wheretouse.html
シマンテックのHPのベリサインのVIP ACCESS のページへ行ってプログラムをダウンロードし使ってみます。
https://idprotect.verisign.co.jp/
インストールが完了しましたので、早速トークンを表示させてみます。
30秒後に、パスワードが変更になっています。
ここまでは、Windows 8 タブレット(AMD C60搭載)にての確認ですが、一応使えています。
尚、詳細の使い方は、シマンテックの導入方法のページ参照お願いします。
http://www.symantec.com/connect/sites/default/files/video_uploads/IPT%20and%20Symantec%20VIP.mov
それでは、トークン起動し、実際のサイト覗いてみます。
zigsowをみてみましたが、非対応サイトだと、変化ないです。
対応サイトの、 PayPalを選択してみました。
やはり、対応サイトだとトークンの表示が変わりました。
これで、セキュリティは完璧で、簡単にログイン出来るようになると思いす。
ここで、もう一つ、グラウドストレージサービスのサイトに登録してみます。
BAZA ONLINE
ここも、インテルIPT対応サイトのようです。
Windows 8 タブレットと、VPro機での検証結果
まずは、BAZA CLOUD側で設定します。
設定方法
管理者権限を持つIDでBAZA CLOUDにログインし、
右上メニューの「ツール」→「管理コンソール」→「ユーザ」で対象ユーザを選択し「変更」。
変更箇所の下段にある「VIP Credential ID」に、VIP Access トークンの「トークン
ID(12桁)」を入力し「保存」します。
※一度、ログアウトして、再度ログインする際にID/PW入力後にOTP入力画面
が表示されます。
以上で設定は完了です。
管理者権限を持つIDでBAZA CLOUDにログイン
右上メニューの「ツール」→「管理コンソール」→「ユーザ」で対象ユーザを選択し「変更」
変更箇所の下段にある「VIP Credential ID」に、VIP Access トークンの「トークン
ID(12桁)」を入力し「保存」します
一度、ログアウトして、再度ログインする為にBAZAのサイトに行き通常通りのログインします。
ここからはIPT対応と非対応では違うはずですので、比較してみます。
Windows 8タブレットPC
ログインを選択するとOPT入力画面に切り替わります。
二要素認証の形になりますが、OTPを手動入力しなければ、ダメでした。
二要素認証で無事、ログイン出来ました。
インテルIPT対応VPro機
非VPro機でも、此処までは出来ましたが、どう変わるか楽しみです。
それでは、早速みてみましよう。
あれ~?????
インテルIPT使用の自動ログインが、出来ませんでした。
チームメンバーのhideさんの情報によれば、
「PayPalの日本のアカウントは、VIP ACCESS に対応していない・・・(アカウントがアメリカの方だけだそうです<(_ _)>・・・PayPalさんにおたずねしました)」
とゆうことで、もしかしたらBAZAさんも、同じではないかと、
サポートに問い合わせしたところ、
以下のような回答がありました。
「自動ログインの機能はOTP認証サービスおよびVIP Access トークンの
提供元である日本ベリサイン社(米国シマンテック社)の事情により
弊社サービスでは実装を外しております。
先方の事情については弊社からの回答は困難となりますので、その旨
ご了承お願い致します。」
ガーン、上記の理由により、自動ログイン機能の検証が、出来ませんでした、誠に申し訳ございません。
上記VIP ACCESSの利用可能なサイト、NHN Japan、NC JAPAN、サミーネットワークス覗いてみましたが、やはりIPT自動ログイン出来るサイトはありませんでした。
もはや私が知る限りでは、日本国内でのアカウントにて、自動ログイン出来る、サイト等が見つけられませんでした。(;^ω^)
外国語のサイトでしたら、あるんですが、私はどうも外国語が苦手で、躊躇してしまいました。
二要素認証は、非VPro機でも可能ですし、ゲームアカウントに付いても、トークンをスマホ等にインストールし、スマホの画面見ながら、OTPを入力する形でのログインとなりますので、同じでしたので、わざわざVPro機導入の意味が???です。
ここで、気をとりなおして、他の機能の検証してみます。
インテル マネージメント・エンジン(インテルME)でのワンタイムパスワード作成
スクリーンキャプチャー技術を悪用したマルウェアに対しても防御に対しての技術として、OS上でパスワード(6桁の数値)を作らないと言う事があげられます。
OSで作らずにインテル マネージメント・エンジン(インテルME)上で作って、直接モニターに出す事で、OS上で動いて画面をキャプチャーするソフトウエアーにキャプチャーさせない様にしているのです。
インテルAMTの検証時に分かったことですが、
リモートアクセスソフト VNC Free Edition Viewer for Windows を起動した時、
6桁のパスワードを要求されました。(設定で、パスすることも出来ます。)
この6桁の数値、VPro機のデスクトップに表示されているユーザー同意コードの6桁の数値を入れれば良かったのですが、
離れた場所にある、VPro機のデスクトップを、見れない場合どうしょうもないですが、これがプロテクションです。
この6桁の数値は、WinShotで、画面キャプチャーが出来ないので、仕方なくカメラで
撮影しました。
何故かとゆうと、この数値はOS上の何らかのソフトウエアーで描画しているわけでは無く、インテルMEで直に作っているので、OS上で動いているWinShotで、キャプチャーが出来なかったわけです。
この機能が スクリーンキャプチャーを悪用したマルウエアーを防止するために必要な技術です。
最近この機能を利用し、キーロガーを防止するためにソフトウエアーキーボードを採用している企業が多くなりましたが、キャプチャーするマルウエアーを使って、パスワードを盗み出す輩がいるので、こうやって防止しているようです。
また、数値もマウスの位置情報から数値を起こしており、直接数値変換しているわけでは無いので、数値の入力のデーターを抜き取ることも困難なシステムになっているようです。
まえでの三菱東京UFJ銀行さんのとこにも、同じような機能が追加されていました。
こちらの機能は
実際のサイト上でのパスワード入力欄
キャプチャーするとパスワードの欄がOS上で作っていないのでキャプチャー出来ない仕様になっています。
まとめ
ここまで、検証してきましたが、Web決済を行うには有効なシステムですが、インテルIPTシステムはVProの中でも最も新しい技術で、搭載されているパソコンが少ないのが現状の問題点です。
現在でもVPro対応機しか搭載されておらず、現状はベリサイン社などでは、ソフトウエアートークンなどを併用せざるを得ない現状で、インテルサイドでハードウエアーに必ず搭載して、個人認証を守ると言った舵取りを取る必要があると思います。
インテル® IPT対応認証システムが、日本国内利用者向けには、あまり普及していませんでした
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。