ニュース
» 2006年12月26日 08時00分 公開

ネットバンキングに有効なセキュリティ対策とは:巧妙化するオンライン詐欺との戦い (1/3)

日本の預金者を、フィッシングやスパイウェアといった手口を使用したオンライン詐欺が狙っている。さらに巧妙化した手口である、中間者攻撃やトロイの木馬にも対抗可能な新たなセキュリティ対策について解説していく。

[石田夏樹,ITmedia]

預金者を狙う第三の犯罪――オンライン詐欺

 国内で預金を狙った犯罪といえば、振り込め詐欺や偽造・盗難キャッシュカードが最近多いですが、オンライン詐欺という第三の犯罪も問題になりつつあります。

 ネットバンキング(オンラインバンク)を狙ったオンライン詐欺では、ユーザーからIDおよびパスワードを盗んでから預金を不正に引き出す手口が現在主流になっています。その手口には例えば、銀行を装った偽メールや偽のWebサイトでだます「フィッシング」や、キー入力やマウス操作を盗聴する「スパイウェア」があります。

 特にスパイウェアについては、日々新種が誕生している上、感染経路も多岐にわたります。このため、自分が使用しているPCや携帯電話がいつ感染するか分からずに、不安な思いをしている方も多いのではないでしょうか。

 国内の被害状況を見ると、ネットバンキングの口座数は2005年度末で約1630万口座(*注)にまで普及している割には、オンライン詐欺の被害は2005年度で37件/約3000万円と、今のところは深刻化していません。

*注 金融情報システムセンター「金融機関業務のシステム化に関するアンケート調査

 しかし、振り込め詐欺に対する認知が高まり、ICカード/生体認証による偽造・盗難キャッシュカード対策が進んでいけば、今後相対的にオンライン詐欺の被害が増えてくる可能性があります。

預金を狙った犯罪の種類 被害件数 被害金額
振り込め詐欺(2005年) 21612件 約251億5100万円(警察庁「「振り込め詐欺(恐喝)」の認知・検挙状況等について」による)
偽造・盗難キャッシュカード(2005年) 3668件 約23億4300万円(警察庁「平成17年の犯罪情勢」(PDFファイル)による)
オンライン詐欺(2005年度) 37件 約3000万円(全国銀行協会「「インターネット・バンキングによる預金等不正引出し」に関するアンケート結果」(PDFファイル)による)
表1●最近一年間の国内の被害状況

既に被害が深刻化している海外の状況

 一方海外では、ネットバンキングを狙ったオンライン詐欺の被害が、日本よりも一足先に深刻化しています。

 例えば英国では、2005年の被害金額が前年比でほぼ倍増し、2320万ポンド(約46億円)に達しました。これは日本の被害額に比べ100倍強の規模であり、オンライン詐欺の被害が急激に深刻化していることが分かります(図1)。

図1●深刻化する海外の被害状況の例。英国におけるネットバンキングを狙ったオンライン詐欺の被害金額は倍増している(出典:APACS「Fraud The Facts 2006」(PDFファイル))

 また米国では、ネットバンキングのセキュリティに対する信頼性が障壁となって、ネットバンキングの口座数の伸びが鈍化してきています。さらに、多額のお金を預けているという意味では同様のネット証券でも、オンライン詐欺の被害が発生しています(関連記事)

 もしも日本の預金者が本格的に詐欺師たちの標的にされたとしたらどうでしょう。他国と比べ、国内のセキュリティ対策が特別に優れているわけではないので、海外のように多くの被害者が生じる事態になりかねません。

後手にまわる法律と銀行

・保護されない預金者たち

 「預金者保護法」という法律をご存じでしょうか。

 この法律は、2003年ごろからスキミングや暗証番号盗撮などの犯罪手口が横行し、偽造・盗難キャッシュカードの被害が急増した事態を受けて、2005年8月に制定され、2006年2月より施行されました。

 かつては、偽造・盗難キャッシュカードで被害を被っても、個人預金者が金融機関のチェック不備などの過失を証明できなければ補償されない場合もありました。それが今では預金者保護法により、逆に金融機関が「安易な暗証番号」など、個人預金者の過失を証明できなければ、原則として全額補償されるようになりました。

 一方で、ネットバンキングにおける犯罪被害については、金融機関は補償を義務付けられていません。預金者保護法は施行後2年を目途に検討が加えられることになっており、それまでの間に国内でネットバンキングを狙ったオンライン詐欺の被害が深刻化した場合、どこまで預金者が保護されるのか問題になりそうです。

・周回遅れのセキュリティ対策

 ネットバンキングのセキュリティ対策のうち、ユーザーに身近なところでは、犯罪者が通信を盗聴することを防ぐ「暗号化」や、ユーザーになりすますことを防ぐ「認証」があります。特に認証については、ユーザーが記憶しているパスワードだけで行うのでは、常に同じ文字列になるためキー入力盗聴に弱く、さらなる対策を実施している場合が多いです。

 国内のネットバンキングでよく見かける認証まわりのセキュリティ対策といえば「乱数表」があります。これは、数字がランダムに羅列してある表を配布しておき、ユーザーがネットバンキングにアクセスした際に、パスワードとして表中の指定された位置の数字を入力することで、正しいユーザーかどうかを確認する仕組みです。また、画面にバーチャルなキーボードを表示し、実際のキーボードの代わりにマウスでクリックしてパスワードを入力する「ソフトウェアキーボード」という手法もあります。

 しかし、2005年7月には、乱数表を採用している国内のネットバンキングで詐欺による被害が発生しました。また、ソフトウェアキーボードを標的に、マウス操作を盗聴したり、画面ごとキャプチャしたりするスパイウェアも登場しています。

 そこで現在は、認証のたびに毎回変化する使い捨てパスワードである「ワンタイムパスワード」が注目されています。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -