国内の主要なネットバンキングでは、振り込みなどの重要な操作を行う際に、毎回異なる可変式のパスワード(暗証番号)入力を求め、安全性を高めている。最近では、専用のハードウェアなどを使用し、その都度使い捨てのパスワードを生成する方式を採用するところも多い。不正送金防止に有効な対策のひとつなので、ぜひ利用していただきたい。
不正送金被害を防ぐには、マルウェア(ウイルス)感染やフィッシングにあわないように対策することが最重要課題だが、防ぎきれなかった場合を想定し、追加の防御策も用意しておきたい。中でも高い効果が期待できるのが、ワンタイムパスワードやトランザクション認証だ。ここでは、ネットバンキングでこれまでに採用されてきた、主な追加の認証方式と、その弱点について解説する。利用できる機能は積極的に利用し、不正送金から口座を守っていただきたい。
■取引用パスワード
初期のネットバンキングでとられた対策のひとつが、取引時にログイン用のパスワードとは別のパスワードを使用する方法だ。外鍵が破られても内鍵があれば大丈夫という発想だが、マルウェア感染やフィッシングで両方窃取されると破られてしまい、それほど効果はなかった。他の対策を導入した今もなお、この機能を残しているところもある。
■乱数表方式
ほとんどのネットバンキングで採用されているのが、あらかじめ配布した数個から100個の数字が書かれたカードを使用する乱数表方式だ。取引の際には、ネットバンキング側が指定した数か所の数字を指定されたとおりに入力し、パスワードとして使用する。指定場所はその都度異なり、乱数表に書かれている数字の並びはユーザーごとに異なるので、本人の乱数表を使わないと正しいパスワードを入力できない。乱数表は物理的なカードに印刷したものを配布するのが基本なので、カードを盗まないと不正送金はできないはずだった。
ところが10年近く前に、乱数表の数字を全て入力させるフィッシングが登場し、だまされるユーザーが続出する。一部のネットバンキングでは、今も乱数表だけに頼っているところがあり、ワンタイムパスワードなどがあってもオプションであることが多い。このため、いまもなお乱数表を丸ごと入力させるマルウェアやフィッシングが後を絶たないのが現状だ。一部ではすでにこの方式を廃止し、ワンタイムパスワード等に移行しているところもあり、併用しているところでも乱数表使用時には制限を設けていたりする。
■ワンタイムパスワード
ワンタイムパスワードは、毎回異なる使い捨てのパスワードを使用する認証方式だ。乱数表もその場限りのワンタイムパスワードだが、ここでは、専用のハードウェアなどを使い、一定の時間内に一回だけ有効なパスワードをその都度生成して使う方式に限定する。国内のネットバンキングでは、パスワードを手元のカードやキーホルダー状のハードウェアを使って生成するハードウェア方式、スマートフォンなどのアプリで生成するソフトウェア方式、ネットバンキング側で生成したパスワードをメールで通知するメール方式の3種類が主流で、海外ではメールの代わりにSMSの通知もよく使われる。
マルウェア感染の影響を受けないハードウェア方式は、これらの中で最も安全性が高く、ハードウェアを盗まれるか後述する中間者攻撃を受けない限り、不正送金を阻止できる。
ソフトウェア方式は、ハードウェア方式と同じ条件で運用すれば同等の安全性を持つ。ハードウェア方式と同じ条件とは以下の3つだ。(1) パスワード生成アプリを、ネットバンキングを操作する端末とは別の端末にインストールする。(2) パスワード生成アプリは、バックアップできないようになっている。(3) パスワード生成アプリを他のアプリや外部から操作したり参照したりできないようになっている。中でも(1)は、ハードウェア方式が持つ最大の利点なので、同等の安全性を求めるのであれば必須だ。(2) (3) はアプリ次第だが、例えば三菱東京UFJ銀行のスマホ用アプリの場合には、(2) (3) には対処しているようだ。ただし、パスワードを生成すだけの専用アプリが廃止され、送金機能などもサポートするアプリしか利用できないため、端末を操作されると不正送金の可能性を排除できない。
メール方式は、やや劣るものの条件次第でハードウェア方式並みの安全性を持たせることができる。ソフトウェア方式の3条件に加え、メール方式の最大の弱点であるメールアカウントの窃取への対処が条件だ。メールアカウントは、マルウェア感染やフィッシングなどで盗まれることがあり、実際に感染したマルウェアにネットバンキングとメールの両方のアカウントを盗み取られたとみられる被害が出ているという。
この問題に関しては、先の3条件の(1) にあたる、ネットバンキングを操作する端末とメールを受け取る端末を別にすることで、一定レベルの安全性を確保できる。このためネットバンキングの中には、ワンタイムパスワードの送付先メールアドレスを携帯キャリアのものに限定しているところもある。最近のキャリアメール(特にスマートフォン対応のもの)の中には、インターネット上からアクセスできるようになっているものも多いが、ここでいうキャリアメールは、キャリアの回線経由でしかアクセスできない従来仕様のものを指す。従来仕様のキャリアメールは、その端末(SIM)からでないとアクセスできないので、ワンタイムパスワードを覗き見される心配がない。
■ワンタイムパスワードを破る「中間者攻撃」
一昨年あたりから、ワンタイムパスワードを破るマルウェアやフィッシングが、国内のネットバンキングの攻撃に使われるようになった。メール方式は、先に紹介した手口に破られてしまうが、ハードウェア方式やソフトウェア方式もターゲットだ。
ハードウェアなどが生成する短時間で次々に変わるワンタイムパスワードは、有効な間に使えば不正送金を行うことができる。そこで、ブラウザを乗っ取ったマルウェアや、ユーザーをだまして誘導した誘導先の偽サイトで偽の画面を表示し、ログイン情報やワンタイムパスワードをユーザー自身に入力させる。その背後で本物のサイトにリアルタイムにアクセスして送金処理を行うと、ワンタイムパスワードが効力を発揮できず、不正送金が成功してしまう。
このような手法を「中間者攻撃」といい、ユーザーの実際の送金処理に合わせて一連の操作が行われると、ほとんど気付かれることなく不正送金されてしまう可能性が高い。ところが現実には、ユーザーが公式サイトにアクセスしたタイミングや、偽サイトに誘導されたタイミングで一連の操作を行う偽画面を表示して行うため、見慣れない画面やログイン直後にワンタイムパスワードの入力を求めるという不自然な操作になる。偽の画面や不自然な操作に気付けば被害を食い止められるはずだが、いかがだろうか。
■ワンタイムパスワードを聞き出そうとする不審な電話も
ゆうちょ銀行は今月16日、パスワード生成機に表示されたワンタイムパスワードを聞き出そうとする、不審な電話があったとして注意を呼びかけた。詳しい経緯はわからないが、そのユーザーのネットバンキングのアカウントにアクセスし、送金の手続きまで進むことができれば、電話でワンタイムパスワードを聞き出す方法でも不正送金できるので注意したい。ワンタイムパスワードは、他言無用だ。
■トランザクション認証
ワンタイムパスワードには、有効期間内であれば用途に関係なく使用できるという欠点がある。そこで、特定の処理にのみ有効な「トランザクション認証」と呼ばれる認証方法が採用され始めている。
個人向けのネットバンキングでは、取引内容をスマートフォン用アプリに通知し、画面でそれを確認して承認する方式が、じぶん銀行や住信SBIネット銀行、NTTデータ系のシステムで使われている。トランザクション認証機能を持つ入力キー付きのカード型パスワード生成機を配布しているところもいくつかあり、その中のみずほ銀行が、ネットバンキングでこの機能を利用している。こちらは、送金先の口座番号をからめたワンタイムパスワードを生成し、用途外の振り込みに使われないようにする。
ワンタイムパスワードまでの対策が、ことごとく破られてしまったのに対し、このトランザクション認証に関しては、いまのところ破られたという報告はない。
(2016/08/26 ネットセキュリティニュース)
【関連URL】
・【重要】当行社員を装ってゆうちょダイレクトのパスワードを聞き出そうとする不審な電話にご注意ください(ゆうちょ銀行)
http://www.jp-bank.japanpost.jp/news/2016/news_id001182.html
・インターネット・バンキングにおけるセキュリティ対策事例[PDF](全国銀行協会)
http://www.zenginkyo.or.jp/fileadmin/res/news/news280614_1.pdf