昨日、こんなニュースが飛び込んできました。

パスワード盗む新手口＝ネット銀の不正送金－被害、最悪ペース・警察庁

　インターネットバンキング利用者の口座から無断で現金を送金する事件で、パスワードを盗む新しい手口による被害が多発していることが２４日、警察庁への取材で分かった。不正送金を防ぐため内容を毎回変えている「ワンタイムパスワード」を、犯人がコンピューターウイルスで入手したとみられる。

　今年確認された不正送金の被害は９０００万円を超えた。昨年の約４８００万円を上回り、過去最悪だった２０１１年の約３億８００万円と同じペースとなっている。（2013/04/24-21:38）

時事ドットコム：パスワード盗む新手口＝ネット銀の不正送金－被害、最悪ペース・警察庁より引用

『「ワンタイムパスワード」を、犯人がコンピューターウイルスで入手』だと? 最初は、いよいよ本格的なMITB(Man in the Browser)が使われ始めたのかと思いました。

その後、ネットで検索して以下の記事を見つけました。

三菱東京ＵＦＪ銀行など複数の銀行で、インターネットバンキングの利用者のＩＤやパスワードが不正に盗み取られるなどし、預金を別口座に送金される被害が今年に入ってから約９千万円に上っていることが２４日、捜査関係者への取材で分かった。

【中略】

捜査関係者によると、利用者のパソコンの多くは、送金などをする際に本人確認のため銀行からパソコンのメールアドレスに送られてくる「ワンタイムパスワード」を盗み取る新タイプのウイルスに感染していた

複数の銀行で９千万円被害 ネットバンキング不正事件 | 静岡新聞より引用

三菱東京UFJ銀行には口座がないので知らなかったのですが、ワンタイムパスワードをメール送信するタイプのものが使われていたのですかね。調べてみました。これですね。

インターネットバンキングのログイン時の本人確認方法を一部追加します。（平成24年2月12日（日）より）

三菱東京ＵＦＪダイレクトを更に安心してご利用いただけるように平成24年2月12日（日）よりEメールによるワンタイムパスワード（使い捨てパスワード）を導入します。【中略】

現在、当行のインターネットバンキングでは、アクセスされた際のパソコン環境やネットワーク環境などの分析を行い、普段と異なる環境からのアクセスと判定された場合、IBログインパスワードに加えてダイレクトパスワードのご入力をお願いしております。

今回、この本人確認の方法に「ワンタイムパスワード」を追加します。

ワンタイムパスワードは入力が必要になった際に当行が都度指定し、ご登録のEメールアドレスに通知します。

新着ニュース | 三菱東京ＵＦＪ銀行より引用（強調は引用者）

これを読むと、リスクベース認証の追加認証手段として、メールによるトークン送信機能が追加されたようですね。そして、以下の注意が…

※携帯電話をお持ちのお客さまは、利便性と安全性のため、携帯電話のEメールアドレスを登録されることをおすすめいたします。

今回の報道とあわせて考えると、携帯電話のEメールアドレスではなく、パソコンのメールにワンタイムパスワードを送信していた利用者が、ウイルスによりワンタイムパスワードを窃取されたようです。

私は最初、振り込みなど重要な操作の際に入力するワンタイムパスワードが破られたのかと想像したのですが、そうではなく、リスクベース認証の追加認証としてのワンタイムパスワードだったことになります。

そうすると、犯人が振り込み操作をするためには、暗証番号表などの追加の情報が必要になるはずですが、これは従来通り「利用者にすべて入力させた」のでしょうか?

利用者側でとれる対策は下記となります。

• まずはウイルス対策が重要で、パソコンのOSやソフトを常に最新の状態に保つ
• 出所の明確でないプログラムやブラウザのアドオンを導入しない
• ウイルス対策ソフトを導入してパターンファイルを最新に保つ
• パスワードはサイト毎に別のものにする
• メール送信するタイプのワンタイムパスワードは、パソコン以外の携帯電話やスマートフォンで受信する
• 暗証番号表をすべて入力させる画面が出てきたら、ウイルスなので操作をやめ、銀行に連絡する（追記）

追加の報道や銀行からの発表に注目したいと思います。