さて、この章では銀行側が提供している対策の概要と、その限界を検証しよう。金銭被害につながる脅威に対する、ネット銀行側の対策を図5[拡大表示]にまとめた。予防対策は主に3つ。パスワードそのものの強化、キーロガーによるパスワード詐取の防止、そしてSSLによる通信の盗聴防止だ。これらのほかに、被害を最小限に食い止める事後対策がいくつかある。主な都市銀行の対応状況を次の見開きページの表に示した。以下、チェックポイントを順に解説していこう。
数回間違えるとアウト
まずはパスワードの“強さ”だ。これは言い換えると“推測しづらさ”で、流出パスワードに対しては無意味だが基本チェック項目といえる。銀行によってパスワードに使える文字の種類と文字数は異なる。当然、短いよりは長い方が推測しづらく、数字のみよりは英数字混在、かつ英字の大文字/小文字を判別する方が強い。例えば6桁の数字の組み合わせは100万通りだが、英数字混在で大文字/小文字を区別する6桁パターンは500億通り以上になる。
推測などによるパスワード盗用を防ぐため、表に挙げた銀行はすべて、パスワードの入力に一定回数失敗すると利用不能になる。ユーザーの方でも誕生日や電話番号など、類推しやすいパスワードを使わないようにしておこう。
パスワードの連続ミスで一度ロックされると、たとえ正しいパスワードを知っていてもログインできなくなる。解除方法は銀行によってまちまちで、例えばソニー銀行は一定時間経過すると自動的に解除されるが、みずほ銀行などは別途申請(書面、電話など)が必要。ロックされるまでの回数もさまざまで、常に数回でロックされる銀行もあれば、間違え方を考慮するところもある。なお、どの銀行もセキュリティのため、一定時間操作しないと自動的にログオフするが、その際は正規のパスワードですぐに再ログインできる。
チャレンジ方式が焦点
ログイン時はどの銀行もアカウント(ログインID)とパスワードを要求する。それとは別に、資金移動のタイミングで別のパスワードを要求するのが最近の傾向だ(図6[拡大表示])。振込などの取引を実行する際に、ログイン時とは別の取引パスワードを使う。
ここで注目したいのが乱数表だ。いくつかの銀行では取引パスワードを入力する際に、加入時に銀行から提供される乱数表を使用する(図7[拡大表示])。これは英数字が並んだ名刺大のカードで、内容はユーザーごとに異なる。取引パスワードの入力画面ではこの乱数表が手元にあるという前提で、「8、1、15、16番目の文字を入力せよ」といった要求が出る。文字の位置や順番は毎回異なるため、乱数表がないとお手上げだ。キーロガーでキー入力を盗んでも、次に同じものが使えるとは限らない。
このように毎回違う質問(チャレンジ)に回答(レスポンス)するタイプのパスワードをチャレンジレスポンス方式という。これによって、キーロガーに起因する金銭被害の可能性は大幅に減る。キーロガー対策で重要なのは、毎回違うチャレンジを問うということだ。みずほ銀行では乱数表を使わないが、取引パスワードとして事前に登録した6桁の数字のうち、毎回違う4個を指定された順番に入力する。これも一種のチャレンジレスポンス方式といえる*2。
なお、一部の銀行はWebページをリロード(更新)するたびにチャレンジの内容が変化して警告も出ない。これをセキュリティ上、問題だと指摘する声もある。乱数表の一部が分かっている場合、それに合致するまで何度もリロードすればいいからだ。
マウスでパスワード入力
キーロガー対策としてソフトウエアキーボードを採用する銀行も増えてきた。これは画面上のキーをクリックして文字を入力するもの。ブラウザーのスクリプトで動作するため、文字をキーロガーに記録されない(ちなみにWindowsのスクリーンキーボードでは記録される)。
仕組みは銀行ごとに多少の差があり、セキュリティ上の工夫も見受けられる。例えばソニー銀行の場合は、数字/英大文字/英小文字の3ブロックの配置が表示のたびに変わる。こうすると、仮にマウスのクリック位置を記録する不正プログラムが出てきても安全性が高い。イーバンク銀行はもっと凝っていて、表示のたびにランダムに内容が変わるキー変換表が付いている。例えば「変換前:0123456789」→「変換後:vkiC2Ly94b」という変換表の場合、パスワードが「136955」だったら「kCybLL」と入力する。
とはいえ、チャレンジレスポンス方式やソフトキーボードを採用していれば絶対安全とは言い切れない。これらをくぐり抜ける巧妙な不正プログラムが存在しないとは限らないからだ。繰り返すが、そうした不正プログラムを仕込まれないようにすることが抜本対策である。これについては次章で解説する。
残りの対策を見ていこう。パスワードに関しては、定期預金解約などの重要取引や設定変更のために第3のパスワードを使う銀行がある。イーバンクでは一回限り有効なパスワードが発行され、事前登録したメールアドレスに送信されてくる(ワンタイム認証サービス)。ソニー銀行では第3パスワードとして合言葉を使っており、「好きな映画のタイトルは?」のような質問に文字列で答える。
SSL(Secure Socket Layer)による暗号化通信は、どの銀行も当然のように実装している(表[拡大表示])。よく誤解されるが、SSLはキーロガー対策にはならないので注意しよう。SSLは通信内容を暗号化してデータ盗聴を防ぐもので、通信前のキー入力を盗むキーロガーには無力だ。
IPアドレス制限は有効な予防策だが、グローバルIPアドレスに限られるのでどちらかといえば企業向けだ。
その他の対策としては、一定時間ごとにトークンと呼ばれる専用ハードウエアに異なるパスワードを表示するワンタイムパスワードなども考えられるが、予算や運用上の問題から、現状では普及していない。将来的にはトークンの代わりに携帯電話を使う方法も考案されている。例えば野村総合研究所では、携帯電話へワンタイムパスワードを配信するASPサービス「SecuSURF SA」を11月初旬に公開する予定だ。
保証されるには条件が
事後対策は充実しつつある。不正利用に遭った際にすぐユーザーが気づくように、前回ログイン時の履歴の表示や、振込時などにユーザーにメールを送信するシステムを多くの銀行が用意している。なお、不正利用に気づいた場合は、まずコールセンターに連絡しよう。
金銭的被害に遭った場合に備え、不正引き出しに対する保険を用意する銀行もある(図9[拡大表示])。しかし補償にも条件がある。ただちに銀行に届け出る、警察に被害届を出す、「パスワードを付せんに書いて目立つ所に貼っていた」などユーザー側に明らかな過失がない、といった条件が満たされれば一定金額以下が補償される。
なお、最寄りの警察に相談する場合は「警察庁 サイバー犯罪対策」(http://www.npa.go.jp/cyber/)のページから都道府県警察本部のURLや電話番号を調べられる。
