三井住友銀行は1月12日、インターネット・バンキング「One'sダイレクト」のユーザー認証にワンタイム・パスワードを採用すると発表した。パソコンに潜んでユーザーIDやパスワードを盗み取るスパイウエアへの対策の一環で、RSAセキュリティの「SecurID」を採用した。国内のインターネット・バンキングでのワンタイム・パスワード採用は初めて。

 サービス開始は2月。希望する顧客にSecurIDの専用トークン(パスワード生成用デバイス)を配布する。顧客はパソコンや携帯電話からOne'sダイレクトのサイトにアクセスし、トークンに表示された数字列をパスワード欄に入力すればログインできる。専用ソフトをインストールする必要はない。SecurIDのパスワードは60秒ごとに内容が変わるため、万が一盗聴されても不正アクセスされる危険が小さい。SecurIDの利用料は月額105円。

 フィッシングやスパイウエアへの対策としては、パソコンの画面に表示したキーボードからマウス・クリックで文字を入力するソフトウエア・キーボードなどを採用する銀行が増えている。三井住友銀行もソフトウエア・キーボードを採用済みだ。ただし、技術的にはソフトウエア・キーボードからの入力データも盗聴が可能とされ、根本的な解決策にはならない。そこで同行は、今考えられる一番強固なセキュリティ策としてワンタイム・パスワードの採用を決めた。