■(続)インターネットバンキングのセキュリティー対策
■(続)インターネットバンクのセキュリティー対策
■前回は、インターネットバンキングのセキュリティー対策について考察しました。
銀行も対応策として具体的な対策を次々と発表しています。
インターネットバンキングを実際ご利用の方は、ご存知と思いますが、お取引銀行からセキュリティー強化対策の通知されていると思います。
今回は、新生銀行の具体的な対応策の事例をベースに対策の概要をご紹介したいと思います。
皆さんの取引銀行のインターネットバンキングサービスのセキュリティー対策と比較してみてください。
【新生銀行】のケースを中心事例として、【注】は著者がコメントとして追加したものです。
------------------------------------------------
【新生銀行のインターネットバンキングの具体的なセキュリティー対策】
● 128bit SSLの暗号化通信方式の採用
インターネットで送受信される情報は伝送中に盗聴されることを想定して、保護のため暗号化され送受信されます。この暗号化通信方式には現時点でもっとも解読が困難といわれている128bit SSLが採用されています。
【注】※SSLとは・・・Secure Sockets Layerの略。米Netscape社によって提唱されたプロトコル(通信の方式)。通信の暗号化と認証を行なうことによって、第三者によるデータの盗用や改竄を防ぎます。
現在、同社のNetscape Navigatorや米Microsoft社のInternet Explorerに実装されています。
● 複数の確認コードによるご本人確認
新生パワーダイレクトでは、3桁の店番号と7桁の口座番号を続けた10桁の番号、4桁の暗証番号、パワーダイレクトパスワードの「3つの確認コード」により、お客さまご本人であることを確認しております。
【注】新生銀行では、口座番号と2つの暗証番号を利用していますが、口座番号は一般には入手しやい番号です。ATMを利用したメモ帳がATMコーナーに落ちている光景をご覧になることが多いかと思います。
また、振込口座等を相手に知らせる場合等で比較的目に付きやすい番号です。少々問題ありと思います。
従って、一般的にはインターネットバンキング利用契約時に特別な契約者番号を発行し、これを利用します。
●パワーダイレクトパスワードの変更は、いつでも新生パワーダイレクトバンキング画面の「お客さまサポート」の「パスワード変更」にてお手続きできます。セキュリティをより確実にするため定期的にご変更ください。
【注】定期的に変更しなさいという警告は、最近のインターネットバンキングのログイン時の警告ですが、前回も述べたように、変更するとどれがどの暗証であったか混乱してしまいます。現実問題として難しいと実感しています。理論と現実の相違を感じる問題ですね。
● セキュリティキーボードによる暗証番号・パスワード入力
セキュリティーキーボードは、画面上のキーボードをマウスでクリックし、パスワード等の入力をしていくもので、キーボードの操作履歴が残らないため、通常のキーボードより安全な入力方法です。特にインターネットカフェ等の不特定多数の方が使用するパソコン等をご利用の場合は、セキュリティーキーボードをお使いになることを強くお勧めいたします。
(※安全な取引のため、基本的にはそのようなパソコン等でのご利用はお控えください。)
【注】このセキュリティーキーボードは、別称、ソフトウエァキーボード、ソフトキーボードとも呼ばれています。
実際には、YahooカフェのPCにスパイウェアが組み込まれており、実害が発生した事例が発生しています。
【注】パスワードに関しては、固定のパスワードを入れる方法と入力のたびに変化する方式の二種類があります。
☆三井住友銀行の例では、第二暗証番号の入力方法として、4X4の16種類の2桁の数字の表示のあるカードを配布し、この縦横の行・列をランダムに表示し、4桁の数字を暗証番号入力する方式を採用しています。
☆みずほ銀行では、第二暗証は、従来は、6桁の固定入力方式でしたが、6桁のうちの4桁をランダムに入力させる方式に変更になっています。
【注】以上のように、暗証番号も固定方式からランダム方式に変更になってはいるのですが、実際には事故が発生しています。犯罪者の悪知恵は一般には想像できない方法を活用しているようです。
【注】先月、UFJ銀行のATMに小型カメラがセットされ、ATMでの入力データを撮影するという事件が発覚しましたが、これなどもどうしてこんな発想になるのか想定外の事件でした。
● 各種お取引限度額の設定
[振込・振替に上限金額を設定いただけます]
2005年12月1日から、1日あたりの振込および振替の合計上限金額が一律50万円に設定されております。当初の設定は一律50万円ですが、お客さまのご要望により上限金額を変更いただくことも可能です。
1.振込・振替限度額が50万円といたしました。
2005年12月1日から、1日あたりの振込および振替の合計上限金額を一律50万円に設定いたしました。当初の設定は一律50万円ですが、上限金額を変更いただくことも可能です。
【注】他行のインターネットバンキングでも同様ですが、取り扱い金額に制限する方式が定着化するようです。事故が発生した場合でも被害金額を小額に抑えるための方法ですが、これを越える金額を振り込む場合には、銀行の店頭に並ばなければならず、不便になりますね。
セキュリティー強化の代替として、不便を我慢せざるを得ないということでしょう。
2.「パワーダイレクトパスワード」のセキュリティ強化。
2005年12月1日からパワーダイレクトパスワードについて、90日ごとに、ログイン時にパスワード変更をおすすめするメッセージが表示されます。セキュリティ強化のため、ぜひ定期的な変更をお願いします。
また、次回のパスワード変更時から、数字ではなく英文字と数字の両方を使ったパスワードの設定が必要となります。
【注】定期的にパスワードを変更することを警告するシステムが一般化しています。
しかし、実際はなかなか難しい問題です。
【注】数字だけのパスワードから英数字に変更により、パスワードの強化には結びついています。
● 各種取引通知メールのご提供
新生パワーダイレクト内の「お取引通知メール」にご登録いただくと、下記の変更を実施した際に通知メールが発信されます。
1)振込がエラーとなった場合
2)ATM出金・J-Debit利用限度額を変更した時
3)パワーダイレクトパスワードを変更した時
4)通知メールアドレスを変更した時
【注】これにより、見に覚えのない取引が発生した場合気づくのが早くなるという効果を生み出します。
※お客さまへ安全のための新生銀行からのお願い
[ パスワード ]
・ パワーダイレクトパスワードは、誕生日や電話番号など第三者から推測されやすいものは避けてください。
・ パワーダイレクトパスワードと同じ番号を、銀行取引以外の取引で使用しないことをお勧めいたします。
・ パワーダイレクトパスワードは、メモに残したり、パソコンに記憶させたり、電子メール等に記入したりしないでください。
・ 安全のために、定期的にパワーダイレクトパスワードを変更することをおすすめします。2005年12月1日からは、90日ごとにパスワード変更をおすすめするメッセージが出るようになります。新しいパスワードには英文字と数字を両方混ぜた設定が必要になります。
(パワーダイレクトパスワードは、パワーダイレクトのメインメニュー「お客さまサポート」の「パスワード変更」にて変更できます。)
・ 当行行員が、暗証番号やパワーダイレクトパスワードを、口頭や電子メールでお伺いしたり、お知らせしたりすることはありません。
・ 万一、第三者に暗証番号やパワーダイレクトパスワードを知られた恐れがある場合は、すぐに変更していただくか、新生パワーコール(0120-456-007)までご連絡ください。
・ 海外でインターナショナルキャッシュサービスをご利用の場合は、帰国時に暗証番号を変更されることをお勧めいたします。
・ 不審なEメール等をお受取になった場合は、お手数ですが新生パワーコール(0120-456-007)までご連絡ください。
[ ログイン・ログアウト ]
新生パワーダイレクトにログイン(確認コードを入力しログインボタンをクリック)していただきますと、画面に「前回のご利用日時」が表示されます。毎回ログイン(バンキングのご利用)の際にはご確認の上、不審な点がございましたら至急、新生パワーコール(0120-456-007)までご連絡ください。また、新生パワーダイレクトではログインしたまま一定時間お客さまからの入力がない場合には、自動的にログアウト(切断)をする仕組みになっていますが、離席する場合などは必ずログアウトを選択してください。
[ ご利用パソコン ]
安全なお取引のため、インターネットカフェ等の不特定多数の方が利用されるパソコンでの、新生パワーダイレクトのご利用はお控えください。
----------------------------------------------
以上が新生銀行のインターネットバンキングのセキュリティー強化対策の具体事例です。
読者のみなさまも、ご自身の銀行でインターネットバンキングサービスをご利用のことと思います。
どんなセキュリティー対策がとられているのか、一度じっくり検証してみることをお奨めいたします。
【編集後記】
あっという間に、12月になってしまいました。今年も残り一ヶ月となりました。
今年もいろんなことがありました。
特に、銀行のセキュリティー対策に関しての強化策が話題になった年だったように思います。
今年も残り少なくなってきましたが、積み残した仕事をさっさと片付けて、新年を迎えたいものです。
| 固定リンク
「情報セキュリティー」カテゴリの記事
- ◆ガンブラーウィルスにご注意を(2010.02.17)
- ◆続 トロイの木馬(2010.01.23)
- ◆トロイの木馬の被害事例に関して(2010.01.09)
- ◆続発する個人情報漏洩事件(2009.08.18)
- ◆三菱UFJ証券の顧客情報漏洩事件から学ぶべきこと(2009.07.16)
コメント