ＩＴ維新研究所

■１１月になって、肌寒くなってきました。

　風邪を引いていらっしゃる方も多いようです。

　お互いに身体には、気をつけたいものです。

さて、今回は、ＮＨＫテレビのニュース等で放送されている
「インターネットバンキング」に纏わる犯罪をとりあげてみました。

■「インターネットバンキング」のセキュリティー対策について

　インターネットバンキングの利用者は急速に増加しています。

　「インターネットバンキング」とは、インターネット経由で
　銀行などの金融機関のサービスを利用することをいいます。

「ネットバンキング」「オンラインバンキング」などとも呼ばれています。

　店舗を持たない、「インターネット専業銀行」もサービスを競っています。

　ジャパンネット銀行、セブン銀行（旧アイワイバンク）、イーバンク、ソニーバンク
等は勿論のこと、ソフトバンクは以前から、楽天、ライブドァ等も新規参入の準備を
進めています。

　インターネットが普及したことにより、銀行業務の一部をサービスとする
新規参入の銀行が営業を開始できる時代となっているのです。

旧来の店舗中心の伝統的な銀行等の金融機関も、大手都市銀行は勿論のこと、
地銀、信金等の中小金融機関もインターネットによる金融サービスを提供しています。

サービスの内容としては、預金の残高照会、入出金照会、口座振り込み、
振り替えなど、ATMで対応しているサービスが利用可能なほか、複数口座の一括管理
や電子メールによる相談の受付など、独自のサービスが利用可能な銀行もあります。
また、宝くじやロトを購入することも可能となっています。

　インターネットバンキングは、銀行側にとつても、窓口の維持管理にかかるコスト
を削減できることから導入に積極的に取り組んでいます。

更に、「iモード」などの携帯電話のインターネット接続機能を使って
インターネットバンキングと同様の機能が利用できる「モバイルバンキング」
サービスも普及してきています。

　「インターネットバンキング」は、使い始めると大変便利なサービスです。
　銀行側も積極的にセールスを拡大しています。

　銀行のＡＴＭも利用者にとっても、銀行にとっても大変便利な機械
だったわけですが、この便利さの盲点を突いてというか、
ＡＴＭで他人の預金口座から現金を引き出すという事件が多発してしまいました。

　ＡＴＭの事故対策に関しては、預金者保護対策として、通称「預金保護法」が
制定され、法的な対応策がとられる反面、技術的な防止策として「ＩＣカード化」
や「生体認証システム」の導入が順次行われるようになってきました。
これで万全というわけではありませんが、ＡＴＭの事故に関しては、一応決着が
ついたことになります。

　ＡＴＭの場合と同様に、「インターネットバンキング」についても、
普及すればするほど、セキュリティー対策が【重要】になってきます。

■インターネットの事故事例

最近の事例では、「スパイウェア」と呼ばれる方法で、お客さまのパソコンから
パスワード等を不正に取得し、お客さまの口座から身に覚えのない振込がされる
という悪質な事件が発生しています。

１． スパイウェアは、電子メール開封時やフリーソフトをダウンロードしたとき等
に気づかれないままパソコンにインストールされてしまいます。

また、
２．銀行名をかたってスパイウェアが仕込まれたＣＤ－ＲＯＭを送付し、
インストールさせたと思われる事例もつい最近発生しています。

【注】スパイウェアとは？
パソコンなどで入力された個人情報を利用者が気づかないうちに収集して、
インターネット経由で送信してしまうソフト。電子メールに添付されたり、
フリーソフトなどのアプリケーションをインストールした際に、
同時にインストールされることが多く、ＣＤ－ＲＯＭで配布されたと思われる
事例も発生しています。 

ＡＴＭの次は、「インターネットバンキング」が、犯罪者のターゲットとなって
いるのです。

この対策としては、ＡＴＭの不正利用事故による補償をによる預金者保護のような
補償制度が必要なことはいうまでもありません。

　しかし、一方では、技術面からの防止対策も不可欠なのです。

　現在、インターネットバンキングをご利用の方は、ご承知と思いますが、
暗証番号を定期的に変更することの勧告や暗証番号をソフトキーボードにより入力する
ことの推奨等が利用者への注意事項として説明されています。

　実際に、振込等を行う場合には、第二の暗証番号、更には、第三の暗証番号と
取引の種別に従って、いくつかの防御策が装備されています。

　この第二暗証番号も銀行によりいろんな方式が採用されています。
予め「暗証番号表」を配布しておき、縦軸と横軸の組み合わせでランダムに
暗証番号を選択させる方式や固定的な方式等があります。

　しかしながら、最初にインターネットバンキングを開始するために必要な、
「ログイン時」に関しては、現時点では、暗証番号は固定方式が採用されています。
そして、ログイン後に表示される画面には、「暗証番号は定期的に変更してください」
と掲示されるようになってきました。

確かに、暗証番号を定期的に変更すればよいのですが、いろいろな暗証番号を
使っているうちに、度忘れしてしまい困った経験はありませんか。

誕生日や電話番号や住所等の数字を使わないようにとか、自動車免許証番号とかも
使わないようにとか。
簡単な、1111とか1234とかの単純な暗証番号は避けるべきとか・・・。

暗証番号の設定には、いろいろな注意事項があります。

しかし、暗証番号を変更することには抵抗があります。

変更したことを忘れてしまって困ったことはありませんか？

何回も誤った暗証番号を入力しているとサービス自体が利用できなくなって
しまいます。急いで利用したい時に利用できなくなってしまうのですから、
本当に困ってしまいます。
どこかにメモしておいて確認しながら入力したくなります。

しかし、このメモの管理も厳重注意とのことです。
手帳に書いたり、定期券入れや財布に入れておかないようにすべきです。
一緒に盗まれた場合に、暗証番号を知られてしまう危険があるからです。

いったいどうすればよいのでしょうか？。

利便性を追求するということと安全性のための自己防衛対策は必須条件です。

■ログインに「ワンタイムパスワード方式」

　ログインの安全性の確保の方法として、以前から会社以外から会社のネットワーク
に接続する場合が多い外資系の企業等で利用されている方法があります。

この方法は、海外のお客様を対象にした法人向けのキャッシュマネジメントシステム
（インターネットバンキングの法人向けサービス）でも利用されています。

「ワンタイムパスワード方式」でログインの安全性を守る方法です。

この「ワンタイムパスワード方式」というのは、時間により暗証番号が刻一刻と変化
するＩＣチップを利用する方式です。

標準的な方式では、一分おきに６桁の暗証番号がランダム発生します。

インターネットの利用者に予め、「ワンタイムパスワードを発生させるＩＣチップ」
を組み込んだ、カードやＵＳＢ等の媒体を配布しておき、ログオンするときや
重要な取引を行う場合には、この媒体（カードやＵＳＢ）に表示された暗証番号
をインプットします。

この暗証番号は、発行時に設定したデバイス所有者番号と利用する時刻が
パラメーターとなった特殊関数により暗証番号がランダムに発生する仕組みに
なっています。

即ち、「ログインＩＤ＋利用者の決めた暗証＋一分ごとにランダムに変化する
ワンタイムパスワード」の３種類が一致しなければ、ログインできないという
システムを構築することが可能となります。

この仕組みにより、例え、スパイウェア等で、ＩＤ番号と暗証番号が盗まれた
としても、ワンタイムパスワードは刻一刻と変化しているので、このデバイス
も同時に盗まれない限り安全は保たれるということになります。

この「ワンタイムパスワード方式」が、今後の個人向けインターネットバンキング
の安全対策としても採用されれば、安全性は向上し、暗証番号を頻繁に変更する
必要もなくなるということになります。

早期の導入に期待したいものです。

■その他のインターネットバンキング利用上の注意としては、

１．メーカー等から提供されるセキュリティ対策ソフトを利用すること。

２．最新バージョンにアップデートされたソフトを利用すること。
 
３． 口座の取引明細や残高、登録情報はこまめに確認すること。

４．万が一、身に覚えのない不審な取引（振込による引出し、
メールアドレスの変更等）があった場合は、確認のために、至急利用機関に
連絡すること。

以上のような注意が必要となります。

■まとめ

　インターネットは、大変便利なツールです。

　インターネットを利用して、金融取引（株の売り買い、資金の移動等）が簡単に
行われるようになりました。

しかし一方で、この便利さで普及しているツールの弱点を突いて、不正取引による
犯罪も発生する時代です。

守る側と破る側の知恵比べは永遠の課題ということです。