ネット銀行口座のIDやパスワードをスパイウエアによって盗まれ、預金を不正に引き出された事件が、7月1日と5日に相次ぎ発生した。顧客自身のパソコンから情報が盗まれたのは国内で初めて。乱数表を使ってセキュリティ強度を高めていた口座も被害に遭った。

図●被害者自身のパソコンにスパイウエアが埋め込まれた

　スパイウエアを使った不正振り込み事件は、過去にも数回、発生している。その際、スパイウエアが仕込まれたのは、インターネット・カフェのパソコン。不特定多数の人が利用するパソコンだからこそ、犯人は簡単にスパイウエアをインストールできた。それが今回は、被害者自身のパソコンにスパイウエアを埋め込まれている（図[拡大表示]）。

　犯人がどのようにして被害者のパソコンにスパイウエアを送り込んだかは明らかになっていない。一部の報道によれば、業務を装って添付ファイルを送り付け、スパイウエアを侵入させたという。いずれにせよ今後は、「自分しか使わないパソコン」でも、スパイウエアに注意を払うべきだろう。

　一方、ジャパンネット銀行の顧客が被害に遭ったのが、なぜ衝撃的かというと、同行が「乱数パスワード」の仕組みを導入しているからだ。顧客に「IDカード」と呼ぶ、16個の数を記載したカードを送付しておき、利用のたびに、どの数をパスワードにするかを指定する。毎回パスワードが異なるため、一度や二度、キー入力情報や通信データを盗み見られても、不正振り込みにつながる危険性は低いとされていた。そのような考えから、アイワイバンク銀行、三井住友銀行、UFJ銀行なども同様の仕組みを採用していた。

　しかし今回、その「神話」が崩壊した。ジャパンネット銀行の顧客6人の口座から、計379万6000円が不正に引き出された。手口は明らかになっていないものの、複数の顧客が被害に遭っていることから、何らかのスパイウエアが使われ、乱数パスワードを破られた可能性が高い。

　ジャパンネット銀行以外の3件は、みずほ銀行2件（被害額は500万円と数十万円）と、イーバンク銀行1件（同13万円）。500万円と最も被害額が多かった顧客のパソコンには、「TSPY_BANCOS.ANM」という、キーロガーと呼ばれるタイプのスパイウエアが侵入していた。銀行のURL58個をリストとして保持し、そのURLのWebサイトにアクセスした際のキー入力を記録して、外部に送信する。リストには、みずほ銀行のほか、東京三菱銀行、三井住友銀行、UFJ銀行などの大手銀行、イーバンク銀行やジャパンネット銀行などのネット専業銀行、群馬銀行、百五銀行などのURLがあった。

　イーバンク銀行の顧客のパソコンからは「Spyware.InvisibleKey」または「SPYW_INVKEY12.A」と呼ばれるスパイウエアが発見された。これもキーロガーの一種だ。記録結果を外部に送信する機能はないため、送信機能を持つ別の不正プログラムと組み合わせたと見られている。