今週のお役立ち情報
【セキュリティ魂】危険なオンライン銀行の見分け方
2008年08月04日10時00分 / 提供:ネットセキュリティ
都市銀行のオンラインバンクで銀行振込などをよく利用していますが、お金を取り扱うだけに情報漏えいが起こらないか心配です。セキュリティの優れたオンラインバンク、逆に優れていないオンラインバンクをどう見分けるといいのでしょうか。
●安全性と利便性とのジレンマ
オンラインバンキングの安全性への取り組みには、銀行側で必須にしている機能や、ユーザが選択できる機能など様々なものがあります。ただし、セキュリティ機能を上げれば上げるほどオンラインバンキングの利便性が下がるといったことや、銀行側が用意したセキュリティ機能を目一杯利用しても100%安全では無いといったジレンマがあります。
オンラインバンキングを利用するためには、本人の口座へログインするためのIDとパスワードが必要です。そして、そのIDとパスワードをいかに安全なものにするかがオンラインバンキングのセキュリティの要となります。銀行窓口では行員の目視や印鑑、またATM機では監視カメラや指紋認証などの物理的セキュリティがあります。しかし、オンラインバンキングでは印鑑や指紋等が確認できませんので厳重な本人認証が必要になります。
●ログインのセキュリティ
IDは個人を認識するための普遍的なものです。普遍的だけに「なりすまし」される場合もあります。IDでもっとも簡単なのが口座番号を利用することです。しかし、通帳やキャッシュカードなどを落として悪用されることも十分考えられますので、口座番号をそのままオンラインバンキングのIDにするのは危険です。よって、オンラインバンキング専用のログインIDを別に発行して利用させている銀行が多いようです。
パスワードは本人だけが知る暗証番号で、変更することが可能なものです。IDとパスワードが合致した時にはじめてオンラインバンキングの自分の口座にログインできます。パスワードで一番簡単なものは、キャッシュカードのパスワードと同じものを利用することです。しかし、4桁の数字だけですからセキュリティ上安全なわけがありません。そこで、銀行によっては、わざとオンラインバンキングのパスワードをキャッシュカードのものと異なるものを利用させたり、キャッシュカードのパスワードに加えて、第2パスワードや第3パスワードまでを発行し、オンラインバンキングでの振り込みなど危険性の高い処理にはパスワードを複合的に利用させたりしています。また、短いパスワードや、単純なパスワード、そして、同じパスワードを使用できる回数や期間を制限したりして安全性を高めています。
●スパイウェアに対抗したセキュリティ技術
しかし、単に記憶しているパスワードを入力するだけでは、いくらパスワードを複雑にしても、キーロガーなどのスパイウェアによって、いとも簡単にパスワードは盗まれてしまいます。そこで、パスワードの安全性をより高める取り組みとして、パスワード表を配布したり、ワンタイムパスワードやソフトウェアキーボードという技術を利用させたりする銀行があります。
パスワード表は、例えば、縦横4段で計16個の枠にそれぞれ2桁の数字が書かれており、日によってパスワード表の見る位置を変更することでパスワードを変えます。つまり、簡単なワンタイムパスワードです。ただし、その日のパスワードが変化しても、パスワード表自体は普遍的ですから、キーロガーなどのスパイウェアで長期間に渡りキーボード入力を監視されると、16個程度のパスワード表は見破られてしまいます。
ワンタイムパスワードは、パスワード生成機でパスワードを発行して利用するものです。パスワードは秒あるいは分刻みに異なるものになり、そのパスワードは1回で使い捨てになります。よって、単純なパスワードを利用するよりもセキュリティは断然強くなります。ただし、月額100円前後かかってしまう点と、常にパスワード生成機を携帯しなくてはならないのが玉に瑕です。
ソフトウェアキーボードは、一般的にキーロガーなどのスパイウェアに有効とされています。パソコン画面のソフトウェアキーボードからパスワードを入力することにより、キーボードの操作履歴が残らず、より安全にインターネットバンキングを利用できます。しかし、盗撮するタイプのスパイウェアもありますから、完全とは言えません。
また、IDとパスワードの安全性を高める以外のセキュリティとしては、一日あたりの振込金額を制限できたり、オンラインバンキングでの取引があったことを電子メールで連絡するサービスがあります。
●フィッシング詐欺対策のポイント
海外では毎月2万件以上ものフィッシング報告があり、2007年に発生したフィッシング詐欺による被害総額は、米国だけで32億ドルに上るとの調査結果を米調査会社のGartnerが発表しました。しかし、国内では2007年1年間で179件の事例があるのみです。
・(出典:フィッシング対策協議会)
とはいうものの、国内で一般的なショッピングサイトや、日本の銀行、カード会社などの被害事例もありますので注意は必要です。
金融機関から、メールや電話でIDやパスワードを問い合わせることは絶対にありません。「セキュリティシステムを強化したのでIDとパスワードを再入力してください」など、言葉巧みに誘ってきますが、おかしいなと思ったら無視するか、自分の知っている問合せ方法によって自分で確認するようにしましょう。
メールにあるリンクから金融機関などのホームページを閲覧することは、フィッシング詐欺サイトに誘導される危険性があります。近年のフィッシング詐欺サイトは、URLアドレスやSSLの鍵マークを偽装する技術を利用しているケースも少なくありません。アドレスが本物サイトと同じだからといって、また、SSLの鍵マークがあるからといって本物のサイトである証明にはなりません。自分の知っているURLアドレスをブラウザに直接入力してから閲覧するようにしましょう。
【執筆:せきゅバカ一代】
執筆者略歴
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。
相談室にご相談をお寄せください
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
■こちらもオススメ!【セキュリティ魂】
・いつ Windows Vistaへ乗り換えるべきか?
・今年の問題は? 世界最大のハッキングコンテストで聞く
・2008オリンピックは中止か? 四川大地震に便乗するマルウエア
・身代金を要求するマルウエア「ファイルを救いたければ$200払え!」
・ハッキング大学生と結びつく韓国セキュリティ業界
・【セキュリティ魂】バックナンバー
●安全性と利便性とのジレンマ
オンラインバンキングの安全性への取り組みには、銀行側で必須にしている機能や、ユーザが選択できる機能など様々なものがあります。ただし、セキュリティ機能を上げれば上げるほどオンラインバンキングの利便性が下がるといったことや、銀行側が用意したセキュリティ機能を目一杯利用しても100%安全では無いといったジレンマがあります。
オンラインバンキングを利用するためには、本人の口座へログインするためのIDとパスワードが必要です。そして、そのIDとパスワードをいかに安全なものにするかがオンラインバンキングのセキュリティの要となります。銀行窓口では行員の目視や印鑑、またATM機では監視カメラや指紋認証などの物理的セキュリティがあります。しかし、オンラインバンキングでは印鑑や指紋等が確認できませんので厳重な本人認証が必要になります。
●ログインのセキュリティ
IDは個人を認識するための普遍的なものです。普遍的だけに「なりすまし」される場合もあります。IDでもっとも簡単なのが口座番号を利用することです。しかし、通帳やキャッシュカードなどを落として悪用されることも十分考えられますので、口座番号をそのままオンラインバンキングのIDにするのは危険です。よって、オンラインバンキング専用のログインIDを別に発行して利用させている銀行が多いようです。
パスワードは本人だけが知る暗証番号で、変更することが可能なものです。IDとパスワードが合致した時にはじめてオンラインバンキングの自分の口座にログインできます。パスワードで一番簡単なものは、キャッシュカードのパスワードと同じものを利用することです。しかし、4桁の数字だけですからセキュリティ上安全なわけがありません。そこで、銀行によっては、わざとオンラインバンキングのパスワードをキャッシュカードのものと異なるものを利用させたり、キャッシュカードのパスワードに加えて、第2パスワードや第3パスワードまでを発行し、オンラインバンキングでの振り込みなど危険性の高い処理にはパスワードを複合的に利用させたりしています。また、短いパスワードや、単純なパスワード、そして、同じパスワードを使用できる回数や期間を制限したりして安全性を高めています。
●スパイウェアに対抗したセキュリティ技術
しかし、単に記憶しているパスワードを入力するだけでは、いくらパスワードを複雑にしても、キーロガーなどのスパイウェアによって、いとも簡単にパスワードは盗まれてしまいます。そこで、パスワードの安全性をより高める取り組みとして、パスワード表を配布したり、ワンタイムパスワードやソフトウェアキーボードという技術を利用させたりする銀行があります。
パスワード表は、例えば、縦横4段で計16個の枠にそれぞれ2桁の数字が書かれており、日によってパスワード表の見る位置を変更することでパスワードを変えます。つまり、簡単なワンタイムパスワードです。ただし、その日のパスワードが変化しても、パスワード表自体は普遍的ですから、キーロガーなどのスパイウェアで長期間に渡りキーボード入力を監視されると、16個程度のパスワード表は見破られてしまいます。
ワンタイムパスワードは、パスワード生成機でパスワードを発行して利用するものです。パスワードは秒あるいは分刻みに異なるものになり、そのパスワードは1回で使い捨てになります。よって、単純なパスワードを利用するよりもセキュリティは断然強くなります。ただし、月額100円前後かかってしまう点と、常にパスワード生成機を携帯しなくてはならないのが玉に瑕です。
ソフトウェアキーボードは、一般的にキーロガーなどのスパイウェアに有効とされています。パソコン画面のソフトウェアキーボードからパスワードを入力することにより、キーボードの操作履歴が残らず、より安全にインターネットバンキングを利用できます。しかし、盗撮するタイプのスパイウェアもありますから、完全とは言えません。
また、IDとパスワードの安全性を高める以外のセキュリティとしては、一日あたりの振込金額を制限できたり、オンラインバンキングでの取引があったことを電子メールで連絡するサービスがあります。
●フィッシング詐欺対策のポイント
海外では毎月2万件以上ものフィッシング報告があり、2007年に発生したフィッシング詐欺による被害総額は、米国だけで32億ドルに上るとの調査結果を米調査会社のGartnerが発表しました。しかし、国内では2007年1年間で179件の事例があるのみです。
・(出典:フィッシング対策協議会)
とはいうものの、国内で一般的なショッピングサイトや、日本の銀行、カード会社などの被害事例もありますので注意は必要です。
金融機関から、メールや電話でIDやパスワードを問い合わせることは絶対にありません。「セキュリティシステムを強化したのでIDとパスワードを再入力してください」など、言葉巧みに誘ってきますが、おかしいなと思ったら無視するか、自分の知っている問合せ方法によって自分で確認するようにしましょう。
メールにあるリンクから金融機関などのホームページを閲覧することは、フィッシング詐欺サイトに誘導される危険性があります。近年のフィッシング詐欺サイトは、URLアドレスやSSLの鍵マークを偽装する技術を利用しているケースも少なくありません。アドレスが本物サイトと同じだからといって、また、SSLの鍵マークがあるからといって本物のサイトである証明にはなりません。自分の知っているURLアドレスをブラウザに直接入力してから閲覧するようにしましょう。
【執筆:せきゅバカ一代】
執筆者略歴
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。
相談室にご相談をお寄せください
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
■こちらもオススメ!【セキュリティ魂】
・いつ Windows Vistaへ乗り換えるべきか?
・今年の問題は? 世界最大のハッキングコンテストで聞く
・2008オリンピックは中止か? 四川大地震に便乗するマルウエア
・身代金を要求するマルウエア「ファイルを救いたければ$200払え!」
・ハッキング大学生と結びつく韓国セキュリティ業界
・【セキュリティ魂】バックナンバー
コメントするにはログインが必要です
Ads by Google
|
PHP研究所
新品価格¥1,365
ロープライス¥1,200
|
ソーテック社
新品価格¥1,365
ロープライス¥1,364
|
ディーアート
新品価格¥1,575
ロープライス¥42
|
ソニー・ミュージックディストリビューション
新品価格¥777
ロープライス¥1,000
|
前後の記事
- アップル「FileVault」の脆弱性公開がキャンセルに--Black Hatカンファレンス CNET Japan 04日11時36分
- 【セキュリティ魂】危険なオンライン銀行の見分け方 ネットセキュリティ 04日10時00分
- テクノロジーで犯罪防止―ニューアーク市の実験 TechCrunch Japanese 04日03時10分
- FacebookとMySpaceで感染するワーム出現 ITmedia 04日09時05分
- Apple、DNSの脆弱性に対処 ITmedia 04日09時10分
ITアクセスランキング
- 1
- 「ゾンビ化」してしまったパソコンはとても危険 赤恥青恥セキュリティ 上半期の総まとめ【'08 夏特集】 ITライフハック 16日09時00分
- 2
- まだあるゾ“ストリートビュー”激ヤバ画像 ゲンダイネット 16日10時00分
(5)
- 3
- のだめカンタービレの作者・二ノ宮知子さん妊娠8ケ月、幸せいっぱい。 Techinsight Japan 17日11時28分
- 4
- 【赤恥青恥セキュリティ】便利だから悪用される? 「クッキー」は甘いだけじゃない ネットセキュリティ 17日09時10分
- 5
- 「iPhone 3Gが遅い原因はチップ」―真犯人登場? GIZMODO 16日14時00分
- 6
- コミケで参加者の手荷物確認へ エスカレーターも一部停止 ITmedia 12日13時24分
- 7
- 【赤恥青恥セキュリティ】あわわ…画面がウインドウだからけ! ブラクラってなんだ ネットセキュリティ 16日09時00分
- 8
- 良いサイトってどんなサイト?/泉 浩人 INSIGHT NOW! 16日10時00分
- 9
- 外国人から奇怪に見える日本の清涼飲料水ベスト10 GIGAZINE 30日15時35分
- 10
- 夏の映画からゲーム、アキバ系などのサブカル情報が満載! カオス通信 上半期の総まとめ【'08 夏特集】 ITライフハック 17日09時00分
注目の情報
アメックスのカードは充実した人生を、心から楽しむ人の一枚。
旅や日常に存在するストレスや手間を取り除いてくれる心強い
サービスたちが、このうえない心地よさを届けてくれます。
あなたの世界が広がっていく。