インターネットバンキングで利用されているトークン方式のワンタイムパスワードが破られ、不正送金される被害が多発しているとして、埼玉県警やりそな銀行が注意を呼びかけている。行員を名乗りワンタイムパスワードを聞き出そうとする不審な電話に注意されたい。
トークン方式のワンタイムパスワードは、送金時などにスマートフォンのアプリや専用のハードウェアでパスワード(数桁の番号)を生成し、それを使って本人確認を行う認証方式のこと。生成したパスワードは、有効期間が数十秒から1分間程度と短く、スマホや専用ハードをその都度操作して生成しなければならないため、比較的安全性が高いとされている。
乱数表の指定欄の数字を入力させる従来の乱数表方式が、表の数字を全て入力させる手口で破られる被害が多発したのを受け、2014年頃からこの方式を採用する金融機関が急増した。金融庁のまとめでは、今年3月末時点で個人向けインターネットバンキングを実施している金融機関の93.4%がトークン方式のワンタイムパスワードを採用している。
ログイン情報と乱数表の数字を全て入力させるフィッシングが昨年多発したりそな銀行では、今年1月から振込時に乱数表が利用できなくなり、ワンタイムパスワードが必須となった。
■ワンタイムパスワードを破る手口
安全性の高いワンタイムパスワードだが、有効なワンタイムパスワードをユーザー自身に入力させたり、ユーザーから聞き出したりする方法で、突破される事例が発生している。入力させる手口は、バンキングマルウェアやフィッシングで行われているもので、ユーザーがネットバンキングにアクセスした際や誘導先で、偽の画面を表示して入力させる。その裏でリアルタイムに送金処理を実行するやり方だ。
今回注意を呼びかけている電話で聞き出すやり方は、ゆうちょ銀行で昨夏に発生した手口と同じだ。りそな銀行の発表文によれば、同行の不正対策部やリスク管理部を名乗る電話が入り、「不正利用にあっているからトークンをリセットする必要がある」「不正ログインにあったからトークンを初期化する必要がある」「トークンを作っている工場から情報が漏れたため、早急にトークンを用意してほしい」など、さまざまな理由を告げてワンタイムパスワードを聞き出そうとするという。ワンタイムパスワードの有効期限は非常に短いので、電話口の相手は、この時すでにネットバンキングの口座に不正アクセスし、送金の用意を整えていると考えられる。聞き出したワンタイムパスワードを入力して実行すれば、送金手続きが即座に完了してしまう。
ワンタイムパスワードを聞き出そうとする電話については、ジャパンネット銀行からも先月末に注意喚起が出ている。両行では、ログイン情報やワンタイムパスワードなどを電話で聞き出すことはないので、絶対に答えないよう注意を呼びかけている。
(2017/09/20 ネットセキュリティニュース)
【関連URL】
・ワンタイムパスワードが破られる!新たな不正送金手口にご用心!(埼玉県警)
https://www.police.pref.saitama.lg.jp/c0070/20170905.html
・【ご注意】りそな銀行を名乗りワンタイムパスワードを聞き出そうとする不審な電話にご注意ください(りそな銀行)
http://www.resonabank.co.jp/direct/gochui/detail/20140715.html
・ジャパンネット銀行を名乗りワンタイムパスワードを聞き出そうとする不審な電話にご注意ください(ジャパンネット銀行)
http://www.japannetbank.co.jp/news/general2017/170831.html
・偽造キャッシュカード問題等に対する対応状況(平成29年3月末)について(金融庁)
http://www.fsa.go.jp/news/29/ginkou/20170831-1.html
【関連記事:ネットセキュリティニュース】
・不正送金被害が過去最悪に--知っておきたいワンタイムパスワードの弱点(2016/03/07)
・不正送金から口座を守るワンタイムパスワード(2016/08/26)