ネット銀不正送金事件、どうすれば防げたのか

2005/8/2

 スパイウェアを使った不正送金事件の続出を受け、ネット銀行各社が相次ぎセキュリティ強化策を打ち出している。認証の強化やキーボード入力履歴の外部送信対策が柱。不正送金事件がさらに続出すると顧客の信頼を失うために各社は必死だが、対策の効果を出すには顧客自身の意識を高める必要があり、“これで万全”とはいえないようだ。

 ソニー銀行は8月1日、ネット銀行サービスへのログオンで新たにソフトウェアキーボードを用意した。不正送金事件では、顧客にスパイウェアが添付された電子メールが送信され、そのスパイウェアを実行することでキーボードの入力履歴を記録するキーロガーがPCに仕込まれた。キーロガーはユーザーが入力するネット銀行のID、パスワードを記録し、外部に送信。何者かがそのID、パスワードを使ってネット銀行にログオンした。これまでにイーバンク銀行、みずほ銀行、ジャパンネット銀行の顧客で被害が確認されている。

 ソニー銀行が導入したソフトウェアキーボードは、ログオンのパスワード入力時に利用する。PCの画面上でマウスを使って入力するため、キーボードの履歴が残らず、キーロガーが仕込まれているPCでも情報が外部に流出しないという。ソニー銀行では「キーロガーに対しては有効な対策になる」としている。ソニー銀行はほかにWebブラウザのクッキーを利用してサービスを使うPCを事前に登録する対策や、複数の暗証番号を用意する対策をすでに実施している。またソフトウェアキーボードを使ったセキュリティ対策は新生銀行も導入している。

ソニー銀行が導入したソフトウェアキーボード。PCのキーボードを使わずにマウスでパスワードを入力する

 今回の不正送金事件では、ネット銀行が用意したセキュリティ対策をユーザーが実行していれば被害が拡大しなかったともいえる。ただ、ウイルス対策ベンダのトレンドマイクロが「結局はユーザー1人1人が取り組まないと万全な対策は難しい」というように、万全のセキュリティ対策でもユーザー側の運用が不十分だとセキュリティの穴ができる。トレンドマイクロが行ったアンケート調査でも、今回の被害の原因となったスパイウェアに対するユーザーの意識は低く、ユーザー側とサービス提供側との意識には差がある。ネット銀行としてはセキュリティ対策のさらに強化を図るとともに、ユーザーのセキュリティへの意識を高める活動が重要になる。

(@IT 垣内郁栄)
情報をお寄せください:info@atmarkit.co.jp

[関連リンク]
ソニー銀行の発表資料(PDF)

[関連記事]
Linuxサーバの3分の2はウイルス未対策、ソフォスが「考えて」 (@ITNews)
スパイウェア対策ベンダが日本進出、“冒険家”が自動検出 (@ITNews)
“カネのにおい”を打ち消す、新ウイルスバスター企業版 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)