金融機関のオンライン取引顧客のIDとパスワードを盗み取り、不正な送金を行うスパイウエアの被害が相次いで発生している。対策ツールの新製品も増えており、金融機関はスパイウエアへの注意を喚起するだけでなく、顧客を守るためのシステム化に積極的な姿勢を見せている。
オンライン取引で、預金が知らない間に別の口座に送金されていた—。銀行や証券会社のオンライン取引が拡大する一方でスパイウエアの仕業とみられる詐欺被害が相次いで発生している。
スパイウエアとは個人情報などを盗み取り、パソコンの利用者以外の第三者に送信するソフト。情報を詐取するために送信された電子メールの添付ファイルやWebサイトを通じてスパイウエアが顧客のパソコンにダウンロードされ、オンライン取引で使われるIDとパスワードを盗み取り、別の口座に不正に送金される。
全国銀行協会(全銀協)によると、確認されたスパイウエアの被害は今年7月までにみずほ銀行など3行で計9件、約940万円にのぼる。ラックの西本逸郎取締役執行役員SNS事業本部長は、「スパイウエアが恐ろしいのは、犯人が単なる愉快犯ではなく、完全にビジネスとしてやっていることだ」と指摘する。
まずは「キーロガー」対策
スパイウエアによる詐欺被害を防止するため、金融機関は積極的に取り組み始めている。
特に最近、金融機関が相次いで導入しているのが、「キーロガー」と呼ばれるスパイウエア被害を防ぐツール。キーロガーはオンライン取引で顧客がキーボード操作で入力した情報を、そのまま収集するため、キーボードで入力した暗証番号が盗まれる恐れがある。そこでキーボードではなく画面上に文字列を表示させ、パスワードや暗証番号をマウスのクリックで入力させるのである。
インターネット専業のソニー銀行は、8月からキーロガー対策として「ソフトウェアキーボード」のサービスを開始した。同行のオンラインサービスを使用する際のパスワード(4~8桁の半角英数字)の入力時に、「ソフトウェアキーボードで入力」を選択すると、キーボードの画面が立ち上がる。顧客は画面上の英数字をマウスでクリックしてパスワードを入力。キーボードの操作履歴を残さずに済む。通常のキーボードでの入力も可能だ。
同行の顧客がスパイウエア被害に遭ったという報告はまだないが、他行の被害報告を知って顧客からスパイウエアについての問い合わせが急増。「当行のサービスのチャネルはインターネットに限られている。それだけに、お客様に安心して利用してもらえるような対策は必要不可欠」(ソニー銀行・営業企画部マーケティンググループの河原塚徹グループリーダー)とする。
みずほ銀行も、オンライン取引サービス「みずほダイレクト」の顧客を対象にしたスパイウエア対策を8月から開始した。みずほ銀行でも、顧客がサービスを利用するためのログイン時のパスワードをマウスのクリックで入力する「ソフトキーボード」を用意。さらに振り込みや振り替えなどを行う際に必要となる第2暗証番号の入力でも工夫した。以前は第2暗証番号の6桁の数字をすべてを入力させていたが、現在は6つの桁数の数字のうち任意で選んだ4つの桁数の数字だけを入力する方式に変更している。どの桁数を入力させるかは取引のたびに変更するので、セキュリティが高まる。
