ネットバンキングの不正送金被害における事情と対策：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

基本的な対策は何か

　オンラインバンキングの不正送金対策についてフィッシング対策協議会が、5月12日に「インターネットバンキングの不正送金にあわないためのガイドライン」（関連PDF）を公開した。詳細についてはぜひ参照していただきたいが、基本は次の通りである。

OSのパッチは「自動更新」が望ましい

　Windowsなどのパッチは自動更新されるのが普通である。この設定を適用した方がいい。「しない方がいい」という上級者でもない限りは自動更新にしておくことだ。

ウイルス対策ソフトは必須

　筆者が銀行員時代に調査をした際、なんとウイルス対策ソフトを全くインストールしていないPCからネットバンキングを利用したり、ネットカフェでバンキングを利用している方がいた。これは言語道断である。

　比較的多いのは、ウイルス対策ソフトの有効期間を過ぎてもそのまま利用していたというケースである。これも危険なので絶対に避けたい。また、個別に「どれがいいソフトですか？」という相談を受けるが、初心者であれば、まずメジャーな製品であれば問題はないと思う。ネットに様々な比較サイトが存在するものの、一部は怪しいWebサイトもあるので注意してほしい。

ネットバンキングでの入力

　初心者はともかく、普段（例えば週1回行っている振込操作）から実施している操作と少しでも違和感があれば、入力を中止すべきである。急に「システムエラーがありましたので、下記の乱数表の空白部分に正当な利用者であるという証明のため入力をお願いします」ということは絶対に無い。100％偽サイトであるが、エラーが表示されてパニックになる方が多い。

　また、「いま閲覧しているWebサイトが本物か？」をチェックする方法もある。最も簡単なのは、URLが正規のものかを確認しつつ、SSL証明書の内容も確認すること。ただ、慣れていないと難しいだろう。ぜひ一度は、どういう表示なら安心なのかを事前に確認しておくといい。金融機関によって確認方法が違う場合もあり、いきなり確認しようとして慌てることがないようにしたい。

パスワード

　パスワードの現状は、資金移動を伴う場合にほとんどのサービスで2要素認証（3要素認証もある）が用意され、利用者が自分で管理できるのは1つのみというケースが大半である。パスワードを頻繁に変更できる人なら、頻繁に変更した方が良い。

　難しいという人（ルーズな人や高齢者）は、無理に変更する必要はないと思う。振込時にOTPを入力することが多いが、その際のパスワードはトークン（機器）に表示されている数字などを入力するしかない。

　また、一部の金融機関はOTPをメールで通知している。これにはメリット・デメリットがあり、どちらにも共通して言えるのは、「なりすましによって不正送金が行われる最近の詐欺ではどちらも破られてしまうリスクがある」ということだ。