ネット銀行事件、「そうはいってもネット銀行ができる対策は？」

7月初めに明らかになった、スパイウェアによる不正送金事件はどうすれば防げたのか――トレンドマイクロの上級セキュリティエキスパート、黒木氏に聞いた。

[長谷川玲奈，＠IT]

　イーバンク銀行、みずほ銀行、ジャパンネット銀行のオンラインバンキングで7月初旬、スパイウェアに感染したユーザーが不正送金の被害に遭う事件が発生した。ネット銀行側のセキュリティ対策に問題はなかったのだろうか。

　トレンドマイクロ 上級セキュリティエキスパート 黒木直樹氏は「まったく問題がなかったとはいえないが、できる限りセキュリティに配慮したサービスを提供していた」と、ネット銀行のセキュリティが一定のレベルには達していたとの見方を示した。

トレンドマイクロ 上級セキュリティエキスパート 黒木直樹氏

　今回の不正送金事件では、トレンドマイクロが「TSPY_BANCOS.ANM」と呼ぶトロイの木馬が使われた。オンラインショップのオーナーあてに顧客からのクレームを装った電子メールが送信。電子メールに添付されたクレーム対象商品の写真とされる実行ファイルを開くことでスパイウェアがPCに侵入した。

　スパイウェアはキーボードの入力履歴を記録するキーロガーで、ユーザーがネット銀行へログオンする際のIDとパスワードを盗み、外部へ送信。この情報が不正送金に利用された。

　ネット銀行が行ってきた対策は、安易に破られることを防ぐためパスワードを「記号とアルファベットを含むn文字以上」と指定したり、チャレンジ・レスポンス方式のワンタイム・パスワードを採用して、パスワードそのものがネットワークに流れないようにするといったことだ。さらにソニー銀行などでは新たにソフトウェアキーボードを導入し、キーボード入力による情報流出を防いでいる（関連記事）。

　これらの対策から黒木氏は「現段階ではセキュリティレベルは上がっている」と語る。

　黒木氏は、ネット銀行側、ユーザー側双方の対策の必要性を強調する。「銀行側はもっとガチガチのセキュリティにすることはできる。しかしそれが本当に顧客のためになるとはいえない。ユーザー側も最低限の心構えを持ち、セキュリティツールを使うなどしてオンラインバンキングやインターネットショッピングを利用することが必要」。

　黒木氏は「やりたいことが先行し、PCやインターネットのことはほとんど知らないがオンラインバンキングはできる、というユーザーが増えてきている。そういう人たちにも、インターネットは怖いという意識を持ってほしい」と強調した。

　ユーザー側は、具体的にどのような対策が必要だったのか。セキュリティツール、例えばトレンドマイクロのウイルスバスターは、正しい使い方をすれば「可能な限りユーザーのリスクを減らすお手伝いをする。もちろんアップデートをきちんと行い、適切な設定をすることは必要だ」（黒木氏）。クライアントに想定される脅威への対応もなされており、設定の変更によって個人情報の流出をブロックすることもできるという。

　そうはいっても、今回のような不正送金事件が続けば、サービスを提供する側のネット銀行の責任が問われたり、オンラインバンキングが必要以上に危険なイメージを持たれたりすることは十分に考えられる。イメージダウンを避けるためには、どういう対策をするべきか。

　「まずはソフトウェアキーボード化、チャレンジ・レスポンスの導入。ただセキュリティに満点はなく、ウイルスと対策とのいたちごっこになるし、あまりセキュリティのレベルを上げてしまうとユーザーは不便を感じる」（黒木氏）。確かに、本人確認に手間取るようではオンラインバンキングの意味がなくなってしまう。利便性とリスク回避のバランスを取るのは難しそうだ。

　数年前のウイルスは愉快犯的なものが多かったが、現在は金銭目的の組織的犯罪の手段として使われるものが多い。そんな状況に対応するため、Webサイトでの注意喚起や社会活動を通して「ユーザーを啓発することもトレンドマイクロの1つのテーマ」と黒木氏は力を込める。