キーロガーやフィッシング詐欺を悪用して金銭を盗み取るオンライン詐欺が依然として横行している。米国のフィッシング詐欺対策団体、Anti-Phishing Working Group（APWG）によれば、2012年2月に報告されたフィッシングサイトの数は5万6859件に上り、過去最高を記録した。国内でも、複数の銀行をかたるフィッシング詐欺メールやサイトが報告されている。
こうした状況を踏まえて、金融情報システムセンター（FISC）は「金融機関等コンピュータシステムの安全対策基準・解説書（FISC安全対策基準）」の中で、乱数表やワンタイムパスワードといった、認証方式の強化に触れている。しかし、「実は二要素認証だけでは十分ではない」と、フォティーンフォティ技術研究所（FFR） 執行役員 技術戦略室長の村上純一氏は指摘する。
その理由は、マルウェアがWebブラウザを乗っ取り、正しいセッションに便乗して不正な操作を紛れ込ませるMan in the Browser（MITB）攻撃だ。日本ではまだあまり知られていない手口だが、欧米では多数の被害が報告されている。

「MITB攻撃のやっかいな点は、正しいサイトで処理を行っているためユーザーが気付きにくいことだ」（村上氏）。
それでも、技術的には対策の余地があるという。例えば、サイトログイン時の認証に加え、決済処理の際に電子署名を組み合わせて改ざんを防ぐという製品がすでにリリースされている。また村上氏によると、フォティーンフォティ技術研究所でも独自に、MITB攻撃からセッションを保護する、一種の「ブラウザプロテクション」製品の開発に取り組んでいるという。

FFRI、ブラウザを乗っ取る「MITB攻撃」に警告 − ＠IT