そこで発想を少し変え、ログイン時の本人認証で守れないならば、取引時の認証で守ろうという視点のセキュリティ対策が現れました。取引時の認証なので、本人意思認証(本人のやりたい取引に間違いないということを確認すること)と言ったところでしょうか。本人意思認証を実現した例として、取引ごとに変化する使い捨てパスワードである「取引連動型ワンタイムパスワード」があります(図4)。
取引連動型ワンタイムパスワードでは、トークンに取引内容とワンタイムパスワードの組が表示されます。預金者が自分が行いたい取引に限り有効なワンタイムパスワードを使うことで、不正な取引にワンタイムパスワードを悪用されないようになっています。そのため、中間者攻撃に対しても安全です(図5)。
このように、認証回りのセキュリティ対策を強化していくことは、トークンを使用する必要がありますけれど、巧妙化するオンライン詐欺手口に対して有効な解決策になるかもしれません。
・安全な環境に預金者を囲い込む
銀行を装った偽メールや偽Webサイトでユーザーをだますフィッシングへの対策として、ネットバンキングでは通常、メーラーに表示される「送信者アドレス」「電子署名」や、Webブラウザに表示される「URL」「鍵マーク」「証明書」などの情報を確認するように促しています。
しかし、フィッシング対策を実現したとしても、スパイウェア対策などの他のオンライン詐欺手口への対策がおざなりであれば、結局はオンライン詐欺の被害を受ける危険性が残ります。このように、さまざまなオンライン詐欺手口の脅威にさらされているPCの危険な環境を、安全にし、安心して利用できる状態にしていくのは簡単ではありません。
そこで、現時点ではオンライン詐欺手口の脅威にあまりさらされていない、ケータイアプリなどの比較的安全な環境でネットバンキングを提供することも、オンライン詐欺手口に対する1つの解決策になるかもしれません。
ただし、オンライン詐欺手口が今後どのように巧妙化していくかは予想しがたく、これまでに挙げた解決策も無効になる可能性があるため、手口や対策の動向は常に注視していく必要があります。
また、ネットバンキングを提供している事業者によって、セキュリティへの取り組みやオンライン詐欺被害への補償には差があります。ネットバンキングをはじめとするオンラインサービスを選ぶ際には、これらも考慮して選ぶことをお勧めします。
Copyright © ITmedia, Inc. All Rights Reserved.