オンライン・バンキング・サービスを提供するイーバンク銀行は8月6日,同社のログイン画面を9月12日から変更することを発表した。現在は非表示のアドレス・バーとステータス・バーを表示させるとともに,ユーザーがあらかじめ登録したキーワードをログイン時に表示させる。これらにより,ログイン・ページがイーバンクのページであることを確認できるようにする。
2003年以降,米国では「フィッシング」による被害が続出している(関連記事1,関連記事2)。フィッシングとは,有名企業から送られたように見せかけたメールでユーザーを偽のサイトへ誘導し,ログイン・パスワードやクレジット・カードなどを盗むオンライン詐欺。今年になって,国内でも話題になっている。今回同社が実施するログイン画面変更は,フィッシング対策の一環。偽サイトへ誘導された場合に,ユーザーがすぐ気付くようにすることが目的である。
具体的には,まず,現在非表示にしているアドレス・バーとステータス・バーを表示するようにする。ユーザーには,アドレス・バーからURLを,ステータス・バーの「錠マーク」からデジタル証明書を確認するよう勧める。
加えて,キーワードを使ったログイン方法を用意する(デフォルトは,キーワードを使わない従来の方法)。ここでのキーワードとは,イーバンクがユーザーを認証するための文字列ではなく,ユーザーがイーバンクのページであることを確認するための文字列のこと。
あらかじめ,ユーザーはキーワードを登録しておく。ユーザーがキーワードを使ったログイン方法を選択すると,まずは“仮ログイン”するよう要求される。具体的には,ユーザーの口座番号と支店番号,ログイン・パスワードの最初の4けたを入力するよう要求される。これらを入力すると,あらかじめ登録しておいたキーワードが表示される。このキーワードが自分の登録した文字列であることを確認した後,ログイン・パスワードをすべて入力する。
同社では,同様の確認方法を携帯電話からのログインにも適用している。8月8日から提供している「クイックログイン」サービスでは,携帯電話固有のIDを基に,ログイン画面に支店番号と口座番号を表示する。これを見て,ユーザーはそのページがイーバンクのものであることを確認できる。確認後,正しいパスワードを入力すれば,ログインできる。
同社広報によると,今回のログイン画面の変更については同社サイトで既に告知しているが,同社がユーザーに毎週配信しているメール・マガジンなどでも告知する予定。「これらの対策でフィッシングの危険性を軽減できるとは思うが,100%防げるとは思っていない。今後も対策を拡充する予定」(同社広報)だという。今後の対策については現在検討中。近いうちに,その内容を公表する予定である。
ログイン画面や個人情報の入力画面でアドレス・バーを非表示にしているサイトは多い(関連記事)。そういったサイトのユーザーは,アドレスを非表示にした偽サイト(フィッシング・サイト)へ誘導されても気付かない。フィッシングを企てる人物からすれば,格好のターゲットとなる(関連記事)。ユーザーのことを考えれば,少なくともアドレス・バーやステータス・バーは表示するようにすべきだ。
◎参考資料
◆イーバンク銀行,世界的に急増する「フィッシング詐欺」への対策を拡充
◆携帯電話から簡単にログインできる「クイックログイン」サービスを開始
(勝村 幸博=IT Pro)
