インターネットバンキングの危険性とその対策（その１）

「ネットバンキング」や「オンラインバンキング」とも言われますが、このブログでもネットバンキングの利便性については語ってきました。わざわざ銀行やATMに足を向けなくても自宅から振込操作や預金残高を確認出来るので非常に便利ですが、その一方で、ここ数年インターネットバンキングによる不正送金の被害が倍々ゲームで増加しています。

非常に便利な反面、それに伴う危険性も飛躍的に高まっています。利用者の増加にともなって被害者も増えるのは避けられないことなのかも知れません。危険性を訴えながらネットバンキングの利用を促すかのようなATM利用手数料の値上げには首を傾げることもありますが、それでもネットバンキングが金融機関にもユーザーにとっても有用であることには違いありません。全ての利便性を無視して制度を変えてしまうことなど現実的には不可能でしょう。適切な利用とは、絶対安全な保証のもとに行うことではなく（そもそもそんな保証はどこにもありません）、その危険性を認識した上で十分注意して行うことが肝要かと思います。

しかしながら、その注意というのが一筋縄ではいきません。敵がどこから攻撃し、どこに罠を仕掛けているのかわからないからです。パスワード盗取の方法がすでに解明されているものもあれば、未知のものもあるでしょう。しかもその方法は今後ますます多様化し、増えていくものと思われます。たんにIDとパスワードを定期的に変更していれば済む問題ではありません。

今回は、そうしたネットバンキングの危険性とそれに対する防御、対抗策を研究していきたいと思います。

ネットバンキングの不正操作の現状

今後も増え続けるであろうインターネットバンキングの不正操作に関しては、このシステムがあり続ける限りは永遠のテーマになると思います。方法が全てわかっているのならその対策も施せるでしょうが、現状ではその全てを解明するのは不可能でしょう。とはいえ、全ての穴を塞げないなら雨漏り対策をしてもしょうがないと、見えている穴まで放っておいては被害を拡大させるだけです。せめて今わかっている穴は出来る限り塞いでおく姿勢が大事かと思います。まずは古典的な方法から見ていきましょう。

ログインの基本と不正操作の手口

ネットバンキングで他人の口座にログインして預金を別口座に振込むためには、ログインするためのIDとパスワードが必要です。この時のIDはネットバンキング用に与えられた番号で、口座番号がIDになっているような危険な金融機関はないはずです。万が一、振込操作を口座番号IDとパスワードだけで操作できるようなところなら、すぐに取引を停止したほうが良いです。しかしながら、ネット上での残高照会や取引内容照会を口座番号とパスワードで確認出来る金融機関は案外あるようなんですね。セキュリティ的にこれもどうだろうとは思います。もしも取引されている銀行や信用金庫で不安があるようなら、一度ご自身で確かめてみることをお勧めします。

さて、あまり話を広げてもなんですので、ここではログインIDとパスワードがどういった方法で盗まれるのかを考えていきます。

各金融機関の注意喚起を見て行きましょう

まずは三菱UFJ銀行から

最近トップページが少し控えめになりました。つい先日までこれこそが偽サイトじゃないかと思われるくらいに、言葉は悪いですがけばけばしくド派手で恐怖心さえ覚えました。注意を引くには十分でしたが、逆に人が寄り付かなくなるんじゃないかと正直心配していたくらいです。「この近所には腐ったものを食べさせる飲食店がいくつもあるけれど、うちの店だけは大丈夫だよ。」とか言われても、にわかに信用は出来ませんよね。真贋を見極める目など、そう簡単に修得出来るわけがありません。この辺がネット犯罪撲滅の難しさではあるんでしょう。

現状は相変わらずトップに赤字の注意喚起が並んでいますが、被害報告の多さを考えれば致し方ないのでしょう。その注意事項の中に次のようなものがあります。

「パスワード等を入力させる偽メールが届いても、絶対に入力しないでください！」

これはメールから偽サイトに誘導して、そこでパスワードを入力させて盗み取ろうとするものです。典型的なパスワード窃取の手口ですが、それだけ実例も多く、より巧妙化していると言えるでしょう。

その多くは、たとえばパスワードが漏洩したので直ちに変更しろとか、システム上の不具合で現在のパスワードが使えなくなったとか、放っておくと自分の不利益になってしまいそうなことを言って不安を煽り、冷静な判断を狂わせてしまう方法です。

これについて三菱ＵＦＪ銀行のサイトでは、
「当行は電子メールで、インターネットバンキングのパスワード等の
入力をお願いすることはありません！」
と注意を促していますが、これに関しては少し問題点があります。

ひとつは、『電子メールで、～お願いすることはありません』とありますが、三菱東京ＵＦＪ銀行がいわゆる営業目的のメールを全く送ってこないわけではないのです。確かにパスワード入力を促すようなメールは送ってきませんが、通常のメールでハイパーリンク付きのお願いメールを送ってきているわけです。入力しないでくださいというのも、広義のお願いメールと言えるでしょう。これでは偽メールとの区別がつきません。実はこれが問題で、いつも送られてくるのと同じようなメールなら、不信感を持つ人は少なくなってしまいます。

もう一つは使う側の意識の問題で、ネットバンキングを利用するときに通常はID（アカウント）とパスワードを入力します。そうしないと先に進めないからです。つまり、IDとパスワードを入力することには全く抵抗が無いのです。サイトにログインするために普通にパスワード等を入力しているのですから、パスワードの入力をお願いするメールがありえないと言われていても、実際にお願いされたら特に疑問も持たずに打ち込んでしまうでしょう。何しろパスワードを入力しているのはメール画面ではなくて、リンク先にある本物そっくりの偽サイトの画面なのです。具体的に、こういうメールはありえないということを絶えず頭の片隅にでも置いておかなければ、画面が遷移した瞬間に目の前の作業で頭がいっぱいになって、他の事にまで気が回らなくなる人、特に老人などはわりと多いはずです。

結果的に普段から注意していない人は、銀行が（この場合は犯罪者がですが）パスワードを変えろと言っているんだから変えようという至極当たり前な思考で行動に移してしまいます。その時には、「メールで入力をお願いすることはない」などということは、すっかり忘却の彼方でしょう。ですので、銀行は偽の画面にパスワードを入力するなと盛んに言ってますが、その時点で偽サイトと思っておらず、ログインパスワードを入力することが危険なことだとも思っていないのだから無理な相談というものです。