ネットバンキングを少しでも安全に使うための方法とは?:萩原栄幸の情報セキュリティ相談室(3/3 ページ)
便利なインターネットバンキングでウイルス感染による不正送金被害などの問題が深刻化し、しかも状況が変化している。現時点(2015年夏)で考えられる安全に使うための方法を紹介したい。
相談3:「個人の利用で被害に遭う確率を少しでも減らすにはどうすべきか?」
かつて、資金量の小さな銀行や金融機関(信用金庫、信用組合、JAなど)がターゲットになる可能性は低いという事実があった。しかし、現在ではその「通説」は崩れてしまった。筆者があるウイルスのiniファイルの内容を見ると、聞き及ばない金融機関名が多数ファイルの中に記載されていた。しかも攻撃者は法人口座を積極的に狙うようになり、現在では中小金融機関の被害の9割近くを法人口座が占める状況にある。
こうした中で比較的被害に遭いにくい確率の方法を求めるなら、次のように考えていただきたい。
- 個人ならメガバンクより、その地域の零細金融機関の方が被害に遭う確率が低くなる
- 「パスワード+ワンタイムパスワード」などの二要素認証より、「パスワード+スマホ」などを活用した二経路認証の方が圧倒的に被害は少ない
- 振り込みの上限額を過去1年間で最も高い金額の範囲に抑えることで、攻撃者に狙われにくい(例えば上限額が10万円のA氏と同100万円のB氏なら、B氏が狙われる)
振込みをする口座は、総合口座ではなく普通預金口座にすることで、さらに被害を最小化できる。例えば、C氏とD氏が同じ上限額50万円、C氏は総合口座で残高10万円と定期預金が100万円、D氏は普通預金で残高10万円とした場合、被害想定額はC氏で50万円だが、D氏は10万円となる。C氏は残高10万円でも、総合口座では定期預金の100万円も預金額に充当できるため、通帳上ではマイナス40万円と表記され、その40万円が自動貸越(100万円の定期預金が担保)される。
パスワードの要点
また、パスワードリスト攻撃などを回避するためには、ネットバンキングで利用するパスワードはその銀行だけにして、絶対に流用しない。特に仕事で使っているものと同じパスワードなら、非常に厄介な事象に陥る恐れがある。ここが企業の情報漏えいの原因になりかねないのだ。全てのパスワードは厳重に管理する。煩わしいなら、取引銀行を減らすという選択肢もある。
当然ながらパスワードの文字列も、英字の小文字、大文字、数字、特殊文字をランダムに用いて設定できる最大の桁数にする。ランダムな文字列と桁数最大では桁数最大の方が堅牢だ。「ILOVEJYUNKO!INEEDJYUNKO!」という、およそ専門家ならお勧めしないような文字列にあえてした方がいい。ただ、あまりこうした方法にこだわり過ぎるのは望ましくないと思う。攻撃者が一般利用者をピンポイントで狙う可能性は低く、どうせ狙うなら大金持ちや政治家、芸能人といった方が効率的であるからだ。
「パスワードを頻繁に変更すべし」というアドバイスもある。確かにその方がリスクは少なくなるものの、人間の行為であるがゆえに、逆にリスクが高まる危険性も考慮することが大切だ。「もしかして……」と感じたのなら、可及的速やかにパスワードを変更した方がいいが、個人でならあまり頻繁に変更する必要はない。1年に1、2回も変更すれば十分である。
最後に補足だが、ネット通販でクレジットカード払いを選ぶ際に、初めての取引会社である場合(特に海外)は一括ではなく分割もしくはリボ払いをお勧めする。取引成立後にその会社が悪質サイトであると、クレジットカード会社による対応が異なるからだ。実は翌月1回払いではクレジット機能を使わないため、補償の対象外となる。例えば100万円の買い物の支払いを1回にすると、最大100万円の損害になり、悪質な会社が雲隠れした場合には補償の対象外(購入する意思で支払いをした場合は第三者がなりすまして購入した場合に該当しない)となる。しかし、10回の分割払いなら被害は最大での最初の支払いの10万円で済む。
どうしてもネットバンキングにはリスクがある。それでも使うなら少しでもリスクを下げて賢く使うよう心掛けていただきたい。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
- 2015年上期の不正送金は15.4億円、信金・信組の被害は10倍増
ネットバンキングの不正送金が754件発生し、個人口座の被害も増加に転じた。 - ネットバンキングの不正送金被害における事情と対策
今回は被害が急増している「ネットバンキング」について解説したい。金融機関側が抱えている事情や、利用者に実施していただきたい適切な対策をご紹介する。 - ネットバンキング被害から身を守れ! 最新情報から実践する対策術
2013年末頃からネットバンキングの不正送金が急増している。特に企業など法人での被害が目立つ状況である。今回は最新情報を基に不正送金被害から企業を守る方法についてお伝えしたい。 - 元銀行員がひも解くフィッシング詐欺の中身と対策
警察庁によれば、昨年のフィッシング詐欺の国内被害は14億円を超え、2012年の30倍にもなった。メガバンク出身の筆者が、実際に直面したフィッシング詐欺の手口とその対策に迫る。 - ウイルス対策ソフトは「どれも同じ?」「効果なし?」――その疑問に答えよう
セキュリティソフト会社幹部の「ウイルス対策ソフトは死んだ」という発言が話題になった。ウイルス対策ソフトに対する疑問を持つユーザーが多いので、専門家の立場から見解を述べてみたい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.