【ODRピックアップ】20140619 ネットバンキングのセキュリティ
最近ハマっている米国のTVドラマの一つが「Person of Interest」http://wwws.warnerbros.co.jp/kaidora/personofinterest/index.php .
犯罪系ドラマですが、ちょっと違うのは高度にプログラミングされたコンピュータシステムと張り巡らされた監視システムにより、”これから事件に巻き込まれそうな人”の情報がはじき出され通知されるという仕組みがキーになっていること。”巻き込まれそう”ということから、加害者か被害者かが不明で、主人公たちは、とりあえず守ることを目指して、場合によっては犯罪を食い止めるという役割なのです。といいつつ、結局死者が出てしまうんですが。。。
先日のエピソードで悪者の銀行口座を操作して、残高を見る間にゼロにしてしまうハッキングシーンがありました。痛快ですが、口座をゼロにされるほうの気持ちは、「あ!あ、あ、あ、ああああああ。。。」という何もできない感と本当にゼロになったのか?という釈然としない、リアリティのなさです。
勝手に口座から現金を引き出される。これは、ドラマの中でなくても起きています。この日本で。特に、最近多いのは法人口座からの被害です。
この記事を正に書いているときに着信した銀行からの注意喚起メールによれば、
”ウィルス感染等による不正な払い出し被害”
が主な手口のようです。従って、決して、ドラマのようなスパイまがいのコンピュータへの侵入でパスワードが盗み出されるようなものではなく、事前の注意で充分防止できるものです。
注意喚起メールでは、◆ご注意事項◆として以下の点をあげています。
1.ウィルス対策ソフト使用すること。
最新の状態に更新し、定期的にウィルススキャン
不審なホームページへのアクセスしないこと
ウィルス感染をしたら早期にウィルスを駆除すること
2.振込のデータ作成者と承認者を別々のパソコンに設定すること
3.権限やセキュリティ設定を適切に
・取引上限金額
・パスワード変更
・ログアウトを励行
4.電子証明書をインストールしたパソコンやICカードは厳重に管理
5.金融機関を装ったCD-ROMに注意
6.不審なメールは速やかに削除
これは銀行を語ったメール例えば、
・サーバーのバージョンアップ
・セキュリティ強化のため、暗証カードを再発行
・セキュリティ強化のため、ワンタイムパスワードを配布
あるいは、フィッシングされた恐れがあるので、”ログインして確認を促す”など、功名になっています。油断すると慣れた人でも引っかかります。
銀行では、万が一、ウィルス感染してハッキング画面が出てきた場合の画面例をあげて、”こういう場合には入力してはいけません”と注意するページまで作成しています。例えば、三井住友銀行では、http://www.smbc.co.jp/security/index.html です。
繰り返しますが、ドラマと違って、ネットワークのどこからから、高度な技術で侵入されることより、前述の方法でIDやパスワードを入力させられて盗まれることが主な手口ですので、様々な手法を取り入れて防止していくことができます。
http://finale.jp/security.html
複数の暗証番号方式
第二暗証番号を予め配布したカードなどに記載しておき、本人のパスワードに加えて、ランダムにそのカードの番号を入力させる方式。カードがなければわからないが、最近はこのカードの内容を入力させるフィッシングも出てきている。
これを防ぐ為に、その都度異なるワンタイムパスワードを生成表示するハードウェアトークンを配布しておく方式もある。CITIバンクや三井住友、みずほ銀行などが、採用している。
ソフトウェアキーボード
画面上に表示したキーボードから入力させるため、キーの信号を盗まれない。
自動終了方式
オフィスに侵入されたり、ノートパソコンを紛失したり盗まれたりした際、以前にログインした状態を保持していると、そのままアクセスされてしまうので、一定時間たつとログアウトしてしまう方式。
電子署名付き電子メール
銀行からのメールに128bit SSLを採用し、不正なメールを見分けることで被害防止。
ベリサインEV-SSL証明書
アドレスバーを見て正規のサイトを判断。偽サイトかどうか判別する。
通知Eメール
振込等の受付後に、取引内容の通知メールで確認。被害を未然に防止あるいは最小限にとどめる。
限度額設定
予め送金限度額を設定しておくことで全額引き出しの被害を防止できる。
少々面倒ですが、身を守るためには、注意を払う必要があります。安全の国、ニッポンと言われてきましたが、なにもしないで安全な時代ではなくなったことを自覚しなくてはいけません。
