CISOの相談室 第7回 安全なオンラインバンクの見分け方について教えて下さい | ScanNetSecurity
2024.03.29(金)

CISOの相談室 第7回 安全なオンラインバンクの見分け方について教えて下さい

都市銀行のオンラインバンクで銀行振込などをよく利用していますが、お金を取り扱うだけに情報漏えいが起こらないか心配です。セキュリティの優れたオンラインバンク、逆に優れていないオンラインバンクをどう見分けるといいのでしょうか。

特集 特集
都市銀行のオンラインバンクで銀行振込などをよく利用していますが、お金を取り扱うだけに情報漏えいが起こらないか心配です。セキュリティの優れたオンラインバンク、逆に優れていないオンラインバンクをどう見分けるといいのでしょうか。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa



●安全性と利便性とのジレンマ

オンラインバンキングの安全性への取り組みには、銀行側で必須にしている機能や、ユーザが選択できる機能など様々なものがあります。ただし、セキュリティ機能を上げれば上げるほどオンラインバンキングの利便性が下がるといったことや、銀行側が用意したセキュリティ機能を目一杯利用しても100%安全では無いといったジレンマがあります。

オンラインバンキングを利用するためには、本人の口座へログインするためのIDとパスワードが必要です。そして、そのIDとパスワードをいかに安全なものにするかがオンラインバンキングのセキュリティの要となります。銀行窓口では行員の目視や印鑑、またATM機では監視カメラや指紋認証などの物理的セキュリティがあります。しかし、オンラインバンキングでは印鑑や指紋等が確認できませんので厳重な本人認証が必要になります。

●ログインのセキュリティ

IDは個人を認識するための普遍的なものです。普遍的だけに「なりすまし」される場合もあります。IDでもっとも簡単なのが口座番号を利用することです。しかし、通帳やキャッシュカードなどを落として悪用されることも十分考えられますので、口座番号をそのままオンラインバンキングのIDにするのは危険です。よって、オンラインバンキング専用のログインIDを別に発行して利用させている銀行が多いようです。

パスワードは本人だけが知る暗証番号で、変更することが可能なものです。IDとパスワードが合致した時にはじめてオンラインバンキングの自分の口座にログインできます。パスワードで一番簡単なものは、キャッシュカードのパスワードと同じものを利用することです。しかし、4桁の数字だけですからセキュリティ上安全なわけがありません。そこで、銀行によっては、わざとオンラインバンキングのパスワードをキャッシュカードのものと異なるものを利用させたり、キャッシュカードのパスワードに加えて、第2パスワードや第3パスワードまでを発行し、オンラインバンキングでの振り込みなど危険性の高い処理にはパスワードを複合的に利用させたりしています。また、短いパスワードや、単純なパスワード、そして、同じパスワードを使用できる回数や期間を制限したりして安全性を高めています。

●スパイウェアに対抗したセキュリティ技術

しかし、単に記憶しているパスワードを入力するだけでは、いくらパスワードを複雑にしても、キーロガーなどのスパイウェアによって、いとも簡単にパスワードは盗まれてしまいます。そこで、パスワードの安全性をより高める取り組みとして、パスワード表を配布したり、ワンタイムパスワードやソフトウェアキーボードという技術を利用させたりする銀行があります。

パスワード表は、例えば、縦横4段で計16個の枠にそれぞれ2桁の数字が書かれており、日によってパスワード表の見る位置を変更することでパスワードを変えます。つまり、簡単なワンタイムパスワードです。ただし、その日のパスワードが変化しても、パスワード表自体は普遍的ですから、キーロガーなどのスパイウェアで長期間に渡りキーボード入力を監視されると、16個程度のパスワード表は見破られてしまいます。

ワンタイムパスワードは、パスワード生成機でパスワードを発行して利用するものです。パスワードは秒あるいは分刻みに異なるものになり、そのパスワードは1回で使い捨てになります。よって、単純なパスワードを利用するよりもセキュリティは断然強くなります。ただし、月額100円前後かかってしまう点と、常にパスワード生成機を携帯しなくてはならないのが玉に瑕です。

ソフトウェアキーボードは、一般的にキーロガーなどのスパイウェアに有効とされています。パソコン画面のソフトウェアキーボードからパスワードを入力することにより、キーボードの操作履歴が残らず、より安全にインターネットバンキングを利用できます。しかし、盗撮するタイプのスパイウェアもありますから、完全とは言えません。

また、IDとパスワードの安全性を高める以外のセキュリティとしては…

【執筆:せきゅバカ一代】
<執筆者略歴>
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×