7月上旬のスパイウエアによる不正振り込み事件。約9件で合計約940万円という被害を受け、ネット専業銀行やみずほ銀行が相次ぎ対策に乗り出した。採り得る対策には限りがあるものの、各行は被害の最小化や、イメージ悪化の回避に躍起だ。
 |
| 表●スパイウエア事件後、ネット銀行が始めた主な対策 |
6件の被害があったジャパンネット銀行は7月21日、携帯電話で振り込み限度額を変更できるようにした。限度額を0円に設定すれば、振り込み操作をロックできる。携帯電話で限度額を変更するには、口座番号と、顧客ごとに異なる16個の数字を印刷したカードに加え、パソコン用サイトでは使わない4桁の暗証番号の三つが必要。パソコンにキーロガーなどを送り込まれ、16個の数字や暗証番号を盗まれたとしても、ロックを解除できない。
ソニー銀行とみずほ銀行、イーバンク銀行は、パソコン用Webサイトを改良してスパイウエアに対抗する。ソニー銀行は8月1日、キーロガー対策としてソフトウエア・キーボードを導入した。Webページに表示されたキーボード画像をクリックしてパスワードを入力する方式だ。
みずほ銀行も8月22日にソフトウエア・キーボードを導入する。同行の顧客はスパイウエアにより、500万円の被害を受けている。一連の事件で額が最も大きかったため、メガバンクの中ではいち早くソフトウエア・キーボードの採用を決めた。
これまで、みずほ銀行は、「お客さま番号」と呼ぶIDとパスワード、2種類の暗証番号だけで認証してきた。東京三菱銀行や三井住友銀行、UFJ銀行といった他のメガバンクが採用している、乱数表を使って暗証番号を毎回変える方式と比べると、脆弱だった。
イーバンク銀行の対策は手法が異なる。8月5日に導入した「ワンタイムセキュリティボード」は、Webページに、数字と英字を1対1で組み合わせた表を表示。ユーザーは自分の暗証番号を英字に置き換えて、キーボードで入力する。数字と英字の組み合わせは毎回異なるため、入力情報を盗まれても暗証番号は分からない。
ただ、これらの対策の効力は限定的だ。ジャパンネット銀行の携帯電話を使う対策は、振り込み操作のたびに限度額を変える必要があり、利便性が低い。ソフトウエア・キーボードはキーロガー以外のスパイウエアへの効力に疑問がある。画面のスクリーン・ショットを保存して外部に送信するスパイウエアの場合、パスワードが分かってしまう可能性もある。
そこで、次の一手を模索する動きも出てきた。イーバンク銀行は不正アクセスやスパイウエアに関する情報を、海外の銀行やセキュリティ関連企業から直接集める仕組みを作る。「年内をめどに米国に拠点を設置し、1~2人の技術者を常駐させる」(広報)という。
実際のところ、「スパイウエアは顧客のパソコンの中に潜んでいるものであり、完全な対策は困難」(ある銀行の担当者)というのがネット銀行の本音。被害額がぞれほど大きくない現状では、Webサイト側だけで打てる対策にも限界がある。ネット銀行の苦悩は今後も続く。
