オンラインサービスのほとんどが、ログイン時などに毎回同じパスワードを使用するのに対し、国内のネットバンキングでは、毎回異なるパスワードを使用する可変方式を併用し安全性を高めています。金融庁の2013年3月時点のまとめでは、個人向けのネットバンキングを提供している金融機関の約95%が「可変パスワード」を導入しており、その後も新規導入が増えています。現在、国内のネットバンキングで起きている不正送金には、この可変パスワードが有効に機能するはずですが、ユーザーの認識不足や運用ミスで、不正送金の被害が後を絶ちません。本人確認の重要な手段であるネットバンキングの認証方式を理解し、不正送金対策に役立てましょう。
<INDEX>
■固定式のパスワードと可変式のパスワード
■乱数表方式
■メール方式
■トークン(パスワード生成機)方式
■固定パスワード方式
■不正送金対策に役立つネットバンキングの諸機能
<以下本文>
オンライサービスの多くが標準的に用いているパスワード認証は、あらかじめユーザーが設定した同じパスワードを用いる固定パスワード方式だ。毎回同じパスワードを使用するので、パスワードを盗まれてしまうだけで本人確認の認証機能が失われ、なりすましが可能になってしまう。
現在、国内のネットバンキングで起きている不正送金被害は、事前に盗み取ったIDやパスワードを使い、ユーザーになりすまして口座を操作し不正送金するやり方だ。固定パスワードの場合には、ユーザーの操作をウイルスに監視させたり、フィッシングでユーザーに一連の操作を行わせたりすれば、必要な情報を全て手に入れることができ、不正送金が行われてしまうのである。
このような手口による不正送金は、2005年頃から国内で多発するようになり、国内のネットバンキングでは、固定パスワードとは別に毎回異なるパスワードを使用する「可変パスワード」を併用するようになった。可変パスワードは、「使い捨てパスワード」「ワンタイムパスワード」などとも呼ばれている。ネットバンキングによって名称やパスワードを生成する方法、使用するタイミングなどは異なるが、生成されたパスワードが有効なのはその場限りなので、それ自体を盗まれても従来の手口での不正送金は行えないはずなのである。
図1 固定パスワードと可変パスワード
それにもかかわらず不正送金被害が続くのは、別のものが盗み取られてしまったことが原因だ。ネットバンキングに使われている可変式パスワードの方式別に、不正送金被害の真の原因と対策をご紹介する。
乱数表は、あらかじめユーザーに配布した、数個から100個程度の数字が書かれた、図2のようなカードを使用する方式だ。可変パスワード導入の初期から使われているもので、ネットバンキング側が指定した1~6か所程度の数字を、指定されたとおりに入力しパスワードとして使用する。乱数表に書かれている数字の並びは、ユーザーごとに異なり、知っているのはネットバンキングとそれを所持しているユーザーのみ。指定される場所や順番もその都度変わるので、ユーザーごとに毎回変わるパスワードが用いられる仕組みになっている。
図2 乱数表方式
この方式は、乱数表を盗まれてしまうと、本人確認の認証機能を失ってしまう。国内のネットバンキングでは、2007年頃から乱数表の数字を全て入力させるフィッシングが出現するようになり、現在多発している不正送金でもウイルスが偽の画面を表示し、乱数表の数字をだまし取ろうとする(図3)。
図3 乱数表をだまし取る偽画面
偽の画面では、必ずしも一度に全ての数字を入力させるとは限らず、複数回に分けて入力させることもあるので注意したい。不審な入力を察知できるように、利用しているネットバンキングでは、どのタイミングで(ログイン時、特定のメニューを開くとき、特定の操作を実行するときなど)、何個の数字を入力するのかを正確に把握しておきたい。例えば、送金などの特定の操作を実行する際に4個の数字を入力する仕様ならば、ログイン時などの想定外のタイミングでの入力や、4個以外の入力は怪しいと考え、操作を中止してサポート窓口に問い合わせるようにする。
なお、乱数表の数字が数桁程度しかない場合には、正規の数の入力を数回繰り返すだけで、全ての数字を盗まれてしまう可能性があるので注意したい。ウイルス感染やフィッシング対策はもちろんだが、より安全性の高い他の方式の利用も検討したい。
メール方式は、可変パスワードの入力時にネットバンキング側でパスワードを生成し、あらかじめ登録されたユーザーのメールアドレス宛てに送る方式だ。最近、この方式のワンタイムパスワードが盗まれ、被害が発生したかのような報道が一部であったが、それは誤りだ。送られて来るパスワードは、毎回異なるその場限りのものなので、これまで通りの不正送金の手法では、このパスワードを盗んでも意味をなさない。
この方式は、攻撃者にパスワードの送付先を乗っ取られてしまうと、本人確認の認証の機能を失ってしまう。メールを自由に読めるようになった攻撃者は、その都度送られて来るパスワードをリアルタイムで取得し、使用できるようになってしまうからだ。メール方式で不正送金被害が起きたのは、ワンタイムパスワードが盗まれたからではなく、送付先のメールのアカウント情報が盗まれてしまったのが原因だったのである。
セキュリティ企業の報告によると、国内のネットバンキングを標的としたウイルスには、ネットバンキングのほかに、GmailやYahooメール、Windows Live(Hotmail)などのWebメールのアカウント情報を窃取する機能が備わっているという。ネットバンキングの操作と、メールで送られて来るパスワードの受信の両方を同じパソコンで行っている場合には、ウイルス感染で両方の情報を盗み取られ、メール方式の認証を無力化されてしまう可能性があるのだ。
ネットバンキングの操作とパスワードの受信を別々の端末で行うようにすると、共倒れの危険が低減され、安全性は飛躍的に向上する。さらに、メールの送付先を携帯電話やスマートフォンのキャリアメール(電話会社が提供するメール)にしておけば、標準状態ではパソコンなどの他の端末からアクセスすることができないのでより安全だ。
図4 メール方式
このメール方式で被害が発生した楽天銀行では、今年6月からパスワードを携帯電話やスマートフォンのメールアドレス宛てに優先的に送るようルールを変更し、これらのアドレスの登録を強く推奨した。10月からは、新たに乱数表を使った認証方式も導入し(顧客の利用条件に応じて発行)、併用することになった。
乱数表方式を採用していた三菱東京UFJ銀行の場合には、2012年2月から、このメール方式を使ったリスクベース認証を新たに追加した。リスクベース認証とは、普段と異なる環境からアクセスした場合に、より厳密に本人確認を行う追加認証のこと。怪しいアクセスと判断したときのみ行うことにより、認証の煩雑化を抑えつつ安全性を向上させる効果がある。
(関連URL)
・セキュリティ強化のためのワンタイム認証のルール変更について(楽天銀行)
http://www.rakuten-bank.co.jp/info/2013/130527.html
・セキュリティ強化のためのセキュリティカードによる認証ルールの追加について(楽天銀行)
http://www.rakuten-bank.co.jp/info/2013/130909.html
・インターネットバンキングのログイン時の本人確認方法を一部追加します。(平成24年2月12日(日)より)(三菱東京UFJ銀行)
http://direct.bk.mufg.jp/info_news/20111220_onetimepw/
図5 トークン方式
パスワードを自動生成する専用のハードウェア(図6)や、スマートフォンなどにインストールしたソフトウェア(アプリ)を使う方式だ(図7)。ディスプレイには、1分間隔でランダムに変化する数桁の数字が表示されており、ネットバンキングの要求に応じて、その時点で表示されている数字を入力し認証する。刻々と変化する数字は、ユーザーが所持しているトークンと、それを登録したネットバンキングだけが共有しているものなので、トークンを盗まれたり、トークンの利用を無効化されたりしない限り、本人確認の認証機能を失ってしまうことはない。実際、これまでの手法の攻撃では、トークン方式は破られておらず、現時点で最も安全な方式となっている。
図6 三井住友銀行のハードウェアトークン(出所:三井住友銀行HP)
図7 NTTデータのスマホ用ソフトウェアトークン(出所:Google Play)
相次ぐ不正送金被害を受け、トークン方式を新たに導入するところや、有料だった利用料を無料にするところも増えてきているので、この方式が利用できるのであればぜひ利用し、安全性を高めていただきたい。
ちなみに、シティバンクでは、この冬から従来のメール方式を廃止し、トークン方式へと移行する。三井住友銀行では、2006年からオプションで導入していたハードウェアトークンを、今春から無料化。10月からは、これまでのキーホルダー型から10キーの付いたカード型に一新し、従来型や乱数表を使った認証方式は、一定期間後に廃止する予定だという。
(関連URL)
・『SMBCダイレクト』のセキュリティ強化について~新型ワンタイムパスワード生成機「パスワードカード」を導入~[PDF](三井住友銀行)
http://www.smbc.co.jp/news/pdf/j20130909_01.pdf
・トークン型のワンタイムパスワードへの切り替えについて[PDF](シティグループ)
http://www.citigroup.jp/japanese/press_release/2013/20130731_jp.pdf
金融庁の2013年3月時点のまとめでは、個人向けのネットバンキングを提供している金融機関1386行のうち1313行(94.7%)が、可変パスワードを導入している。その後も新規導入行が増えつつあるが、固定パスワード方式のままのネットバンキングも少なからずある。ログイン時のパスワード認証のみではなく、タイミングに応じて複数のパスワードを使用するようにはなっているが、パスワードが固定である以上、全て盗まれてしまうと本人を識別する認証機能を失ってしまうことに変わりない。
ゆうちょ銀行をはじめとする、可変パスワード方式を導入していないネットバンキングでは、あらかじめユーザーが登録した秘密の質問と答え(合言葉)を用いた、リスクベース認証を併用し安全性を高めている。ただし、これも固定的なものなので、ウイルスやフィッシングで全ての質問と答えを盗まれてしまうと機能しなくなる。また、ログイン時に見慣れない特別な認証が加わるため、周知が徹底していないと、本物と偽物の区別が付きにくいという欠点もあり、ウイルスやフィッシングで指示されるがまま全ての質問と答えを入力してしまったり、逆に正規のものであるにも関わらず不審に思われたりすることも起きている。
固定パスワードを使用している場合には、他の認証方式への移行や他の機能を併用し、安全性を高めていただきたい。
図8 秘密の質問と答え(合言葉)をすべて盗み取る偽画面
(関連URL)
・ゆうちょダイレクトのログイン後に不正に登録内容の変更をさせて、情報を盗み取ろうとする犯罪にご注意ください
http://www.jp-bank.japanpost.jp/direct/pc/drnews/2013/drnews_id000043.html
ネットバンキングが提供する高度な認証方式は、標準ではなくオプション扱いであることも多い。せっかくの安全策も、申請や登録を行わないと利用できなかったりするので、お使いのネットバンキングでどの方式が利用できるのかを調べ、より安全性が高い方式への移行や併用の申請・登録を行っていただきたい。
ネットバンキングには、認証方式のほかにも様々なセキュリティ機能が用意されている。以下に、不正送金の防止策として効果的なものをご紹介するので、この機会に検討していただきたい。
・機能制限
ネットバンキングで利用できるサービスを、必要なものだけに限定したり、あらかじめ制限されたメニューを用意していたりするところがある。不正送金対策には、振り込みそのものを行えないように制限する、登録先以外には振り込めないように制限する、限度額を制限するといった措置が有効で、万一の被害を最小限に抑えることができる。ネットバンキングの利用頻度が低い場合には、ネットバンキングそのものを無効にしてしまうことも検討しよう。
・メール通知
ログイン時や特定の操作を行った際に、あらかじめ登録しておいたメールアドレス宛てに通知する機能だ。携帯電話やスマートフォン宛てに通知するよう設定しておくと、常時ほぼリアルタイムで通知を受け取ることができるので、最小限のタイムラグで不正使用を検知できる。不正使用されないように対策するのは最重要の課題だが、万一の時に素早く対処できるようにしておくことも重要だ。
・履歴
取引記録は、全てのネットバンキングが備えているので、身に覚えのない取引が行われていないかどうかのチェックを、常日頃から心がけたい。ログイン時に前回のアクセス日時が表示される場合や、過去のログイン履歴が閲覧できる場合には、身に覚えのない不審なアクセスがないかどうか、これらも忘れずチェックしておきたい。
・端末制限
特定の端末からしかネットバンキングが利用できないようにする機能だ。リスクベース認証を使用している場合には、特に明示されていなくても同様の機能が自動的に有効化されており、異なる端末からアクセスした場合には、追加の認証が行われるようになっている。
ネットバンキングによっては、特定のIPアドレスやドメインからのアクセスのみに制限したり、端末にインストールした電子証明書を使う端末認証を提供していたりするところもある。前者のIPアドレスの場合には、アクセスする度にIPアドレスが変わる通常のアクセス回線では利用できないが、常に同じIPアドレスが提供される「固定IP割り当てサービス」などと呼ばれるサービスを利用している方は、検討する価値がある。後者の端末認証は、法人向けのネットバンキング向けに提供されているもので、法人向けのサービスでは、可変パスワードを提供せず端末認証をメインにしているところも多い。固定パスワード方式の法人サービスの場合には、安全性を高めるための必須機能と思っていただきたい。
(執筆:現代フォーラム/鈴木)