ネットバンキングを少しでも安全に使うための方法とは？：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

便利なインターネットバンキングでウイルス感染による不正送金被害などの問題が深刻化し、しかも状況が変化している。現時点（2015年夏）で考えられる安全に使うための方法を紹介したい。

[萩原栄幸，ITmedia]

　いまやインターネットバンキングは、金融機関の重要なサービスになり、誰もが利用できる便利なものになった。そして、最近はネットバンキングがかつてない以上に注目を浴びている。現役の頃から、そして現在の金融機関へのコンサルティングを通じて筆者はネットバンキングに関わり続けているが、この注目は極めて居心地の悪いものだ。

ネットバンキングの状況を不安視される個人、法人が非常に多く、相談をよく受ける。今回は相談で寄せられる疑問について、現時点（2015年夏）の回答を紹介したい。ただ、この状況は今後も変化していくため、実はセキュリティの専門家が触れたがらない分野でもある。本稿執筆時点の内容が、時間の経過とともに参考資料と化してしまう可能性をあらかじめお断りしておく。

　ここ1カ月ほどでもネットバンキングに関するとても恐ろしい記事が掲載されている。

• 2015年8月20日：日本企業を襲う標的型攻撃に新たな動き
• 2015年8月25日：日本の銀行を狙うマルウェア出現、中間者攻撃で情報搾取
• 2015年8月31日：企業の送金詐欺被害が世界で激増、FBIが注意呼び掛け
• 2015年9月2日：銀行情報を狙う新手のマルウェア出現、日本の14行が標的

　これらの記事は単体で読んでもそれなりに知識を習得できるが、断片的でしかない。よって、実際に「いま」「日本で」という観点で、ネットバンキングで注意すべき点を解説していこう。

相談1：「絶対に安全なネットバンキングの銀行名やその取引があれば教えてほしい」

　その昔、「ワンタイムパスワードなら安心」という専門家がいた。トークン方式であれば、1分でパスワードが変化するので、万一何らかの方法で盗まれても攻撃者が使う頃には違うパスワードに代わっているから、大丈夫だとされた。

　まだそういう実害が全くなかった頃、業界では有名な高木浩光氏とお酒を飲んで一緒に議論していた。高木さんは「時間の問題。少なくとも『こうすればOK』という手法だけでも3通りもあるんだから」と指摘され、案の定すぐに破られてしまった。国内の銀行でも件数は少ないものの、実例が出てしまった。

　全国銀行協会（全銀協）の通達などにその対抗手段が掲載され、「これらを複数組み合わせすること（二要素認証）でバンキングの堅牢性を維持できる」というような内容が出回った。それで“安全バー”がどのくらい高くなるのか。今までの対策での高さが1メートルだと仮定するなら、通達に従い二要素認証を実装することで、それが1メートル50センチになる。「比較論としては安全」ということである。絶対に安全なバーの高さ――すき間が一切ない壁――は、どんな武器や建材を駆使しても実現できない。

　つまり、絶対に安全なネットバンキングは存在しない。ただし、金融機関側の防御と利用者側の防御がうまく機能することで、“相対的に安全な”ネットバンキングにすることはできる。