2015/08/28

最強のセキュリティ! 『じぶん銀行』はワンタイムパスワードさえ入力不要だった

パソコンやスマートフォンを使って、簡単に残高照会や送金などができるインターネットバンキング。ITリテラシー、カスッカスの私ですが、なんだか非常に便利そうなので使いこなしてみたい! ということで、スマホユーザーには特におススメという評判の「じぶん銀行」で口座を開設してみた。

スマホからのアップロード機能を使えば本人確認書類の郵送は不必要。申し込み完了後、約1週間程度でキャッシュカードが手元に届く

なんでも「クイック口座開設」アプリを使えば、運転免許証をスマホで撮影して、そのまま写真の画像データを送信できるので、本人確認書類を郵送する時間や手間を省くことができるとか。もちろん個人情報の入力も簡略化、申し込みから完了まで5分で終わってしまった(!)。あとはキャッシュカードの到着を待つだけ。......なんだけど、最近はインターネットバンキングの不正アクセスの被害が増えているらしい。あらためて考えると、手軽なスマホで送金とかちょっと怖いかも......。

そこで、情報セキュリティ会社の株式会社ラックにお邪魔し、サイバーセキュリティの現状を教えてもらうことにしました! 実は同社は個人情報漏えい事件の救済や解決支援、24時間体制でサイバー攻撃の監視を行うなど、いわばセキュリティ対策のプロ集団なのです。

知らずにPCが乗っ取られている!? 新たな不正送金手口がいろいろヤバい。

いきなりの突撃取材に快く応じてくださった、株式会社ラックのサイバーセキュリティ本部コンサルタントの三宅康夫さん

――そもそもネットバンキングでのサイバー攻撃はいつから始まったんですか?

三宅康夫さん(以下、三宅)「サイバー攻撃の被害が、欧米で拡大し始めたのが2004年の3月頃で、その年の暮れに日本でも被害が確認されています。当時は金融機関を偽ったメールや偽サイトを使って預金者のIDやパスワードを騙し取るフィッシングが横行していました。その後、フィッシング対策として広まったのが、IDやパスワードとは別の"もうひとつのカギ"として、一度しか使うことができないパスワードを使う手法です。たとえば、パスワードカードやトークンといったパスワードを生成する機器を使う『ワンタイムパスワード』です。パスワードは一定時間ごとに自動で新しいものに変更するので、暗証番号を盗みとられても不正送金のリスクは低減できます。......ただ、近年、『ワンタイムパスワード』では防げない『マン・イン・ザ・ブラウザ』という新たな攻撃が発生しました」

――マ、マン・イン・ザ・ブラウザ......!? 略してMITB?

三宅「これが非常に厄介なんです。『マン・イン・ザ・ブラウザ』は、マルウエアを使って攻撃します。PCをウイルスに感染させて常に監視し、ネットバンキングへのログインなどを検知すると、ウイルスが稼働して通信を乗っ取ります。さらに、取引内容を改ざんして別の口座に送金してしまうんです。IDやパスワード、ワンタイムパスワードを入力し、送金手続きを行った後に、何もなかったかのように表示される画面を改ざんして、あたかも正常な画面を装うので、利用者は気づかないんです。強引なものになると、PCを遠隔操作してインターネットバンキングで送金することもあるんです」

2013年には「マン・イン・ザ・ブラウザ」の引き金となる「シタデル」というマルウェアが国内でも急速に蔓延し始めた。ウイルスにいつ感染したかもわからないという点も非常に厄介である

――まるで盗聴、そして操られるなんて......こわッ!

三宅「『マン・イン・ザ・ブラウザ』の登場により、ネットバンキングの不正操作による被害総額は、2012年には4,800万円だったのが、2014年には約30億円にまで急増したんです」(※2015年2月警察庁調べ)

――30億! もはやイメージがわきません......。防ぐ方法はないのでしょうか?

三宅「『2経路認証』という対策があります。これはパソコンで送金するときに、ワンタイムパスワードや送金情報を携帯電話に送って認証するものです。高機能なものになると、パソコンから入力した送金情報を、その後にスマホなどの別の端末で再び確認・承認するものもあります。これなら、たとえ改ざんされても、スマホに表示される取引内容が違うので気づくことができます。ただ、不正送金の手口も進化していて、ウイルスで盗んだ情報を悪用して、メールやSMSでスマホに送られてくる情報を横取りし、送金するケースが出てくる可能性もあります」

――メールを横取りされたら、利用者は気付きようがありませんね。

三宅「余談ですが、闇のマーケットでは『マン・イン・ザ・ブラウザ』攻撃を行うためのウイルス が売られているようですし、バージョンも常に進化しています。ウイルスの改造サービスや不正送金ウイルスを使いこなすための、チャットを使ったサポートが受けられるといったヘルプデスクサービスを行う犯罪組織まであるそうです。常に進化し続ける『マン・イン・ザ・ブラウザ』ですが、最近になって新たな対策法としてトランザクション認証というものが登場しました。この新しい手法は『じぶん銀行』にも導入されているので、大きな効果が期待できると思います」

手間がかからず、セキュリティ性が高い。「スマホ認証サービス」とは?

最先端のサイバーセキュリティ「トランザクション認証」とは、いかなるもの? それを知るために、今度は「じぶん銀行」にやってきました!

取材に対応していただいたのは、「じぶん銀行」システム企画部の谷川慎治さん(左)と、CS統括部の坂本香苗さん(右)

――「じぶん銀行」ではセキュリティの強化に「トランザクション認証」というものを導入されていると聞いたのですが......。

谷川「はい。今年の6月からネットバンキングによる不正送金を防ぐために『トランザクション認証』を採用した、『スマホ認証サービス』の提供を開始しました。『トランザクション認証』とは、お客さまが入力する金額や送金先といった取引内容を基にワンタイムパスワードを生成し、認証するものです。たとえば、パソコン上でA子さんに30,000円送金する場合、お客さまのスマホと、銀行のサーバーのそれぞれで『A子さん』『30,000円』という情報を含んだワンタイムパスワードを作成して手続きを行います。たとえ途中で情報が改ざんされても、お客さま側のワンタイムパスワードと、銀行側のワンタイムパスワードが一致しなければ、取引は不成立となります

たとえば、パソコンで入力後に改ざんされて、スマホの確認用の情報も改ざんされると、PCとスマホの取引内容は同じに見える(上図)。「スマホ認証サービス」の「トランザクション認証」では、お客さま側と銀行側のそれぞれが入金情報に基づいたワンタイムパスワードを生成して確認する。パスワードが一致しないと取引は不成立に(下図)

この『トランザクション認証』は、すでに欧米では浸透していて、シンガポールや香港の銀行では導入が必須とされているそうです。非常に信頼度の高いセキュリティ対策として世界的に認められているのです」

――それは心強い! とはいえ、そもそもワンタイムパスワードを使うとなると、パスワードカードなどの機器を持ち歩かないといけないんですよね。アレちょっと面倒な気が......。

坂本「ですよね。その点に関してもご安心ください。実は当行の「スマホ認証サービス」はトランザクション認証をスマホの銀行取引アプリに組み込んでいるので、取引内容を確認・承認するだけで、スマホが勝手にワンタイムパスワードを作ってくれるんです。別アプリを立ち上げる手間もありません」

――つまりワンタイムパスワード自体を入力しなくていいし、パスワードカードすら持ち歩かなくていいんですね!

坂本「そうです。サイバーセキュリティは安全性を追求すると利便性が損なわれ、利便性を追求すると安全性がおろそかになる面があります。ですが、お金は日常的に扱うものですから、両立させるサービスが必要です。そこでスマホアプリ一つで不正送金を防止する『スマホ認証サービス』を開発したんです」

電話番号を基に念願のおじいへの仕送りを実行! しかも振込手数料は無料

これなら私でも安心してネットバンキングデビューできるかも! ホッと胸をなでおろした5日後、無事に口座が開設できたという知らせが到着。驚いたことに、「じぶん銀行」の口座同士であれば、相手の携帯電話番号だけで送金ができるのです。これなら電話やメールをするような簡単な操作で送金ができるし、いちいち口座番号を教えてもらう必要もナシ! よしっ、これを機に今までできなかったおじいちゃんへの仕送りをスマホで行っちゃいます! おじい、待っててね〜。

文:田代くるみ 絵:鈴木麻子

※掲載されたKDDIの商品・サービスに関する情報は、掲載日現在のものです。商品・サービスの料金、サービスの内容・仕様などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。

presented by KDDI