サンスポの3月の記事「ネットバンキングに不正アクセス 1600万円盗む」によると、
ネットカフェや漫画喫茶に個人情報を収集するソフトを勝手に仕掛け、パスワードなどを不正に取得し、他人の口座から約1650万円を送金させ約1600万円を引き出した会社員ら2人が6日、警視庁に逮捕された。 ... 容疑者は、都内や神奈川県内のネットカフェや漫画喫茶など十数カ所のパソコンに“秘密兵器”を仕掛けていた。「キーロガー」。パソコンのキー操作をすべて記録するソフトで、打ち込まれたパスワードやメールの内容などを知ることできる。
という事件があったそうだ。
ネットカフェで銀行取引をするなどという、被害者の無用心さの問題もあるわけだが、大手の銀行は、こうした盗聴行為が行われてもある程度の安全性が得られるよう、乱数表によるチャレンジレスポンス方式を採用している。たとえば三井住友銀行の場合では、縦横4列の計16個の枠にランダムな2桁の10進数の書かれた「暗証カード」が契約者の手元に送付されてくる。ネットバンキングで重要な操作をする際、サイト側からランダムに2か所の枠を指定されるので、そこに書かれた計4桁の数字を送信して、本人確認とする。
こうした方式がとられている銀行をネットカフェで利用し、キーロガーによってタイプした文字を盗聴されたとしよう。しかし、犯人は、不正ログインできても、サーバが偶然に同じ2つの枠を指定してこない限り、送金を実行できないことになる。むろん、正規利用者がネットカフェで何度も繰り返し取引を実行すると、16か所の枠がビンゴカードのように次々と盗まれていくことになるので、安全性は徐々に低下していく。このあたりの確率計算の試みが文献*1にある。
さて、冒頭のサンスポの記事には続いてこう書かれている。
ネット専業のソニー銀行はサービスに応じて別のパスワードを設定、顧客が送金サービスを使う際には、3種類の「合言葉」を答えないと利用できない仕組み。さらに事前登録のパソコンでしか取引できないという対策も講じている。
これはどういうことなのか。
「事前登録のパソコンでしか取引できない」といっても、IPアドレスを書面で申請しておくわけではない。「事前登録」はいつでもオンラインで可能なのだ。ネットカフェのパソコンを「事前登録」することもできる。どういうことなのか、ソニー銀行をネットカフェで使う場合を例にとって手順を説明しよう。
まず、口座番号とパスワードを入力する。すると、「事前登録のパソコン」ではないため、2つ目の暗証番号の入力を要求される。これを正しく入力してパスすると、今度は、3つの合言葉の質問に文字列で答えることになる。質問と回答は、よくあるパスワードリマインダのような形式で、「お気に入りの○○は?」といった感じだ。3つとも正しく入力すると、IDの記載されたcookieが発行され、それ以降は、同じパソコンからならば(正確には、同じブラウザからならば)、最初のパスワードだけでログインできるというわけだ。
さて、これをネットカフェで実行したとき、キーロガーが仕掛けられているとどうなるか。当然ながら、最初のパスワードと、次の暗証番号と、3つの合言葉は、全部そろって盗まれる。つまり、ネットカフェでキーロガーを仕掛けられて銀行口座を乗っ取られたという事件報道の文脈において、
というのは、何ら効果のある対策ではない。3種類の「合言葉」を答えないと利用できない仕組み。さらに事前登録のパソコンでしか取引できないという対策も講じている。
こうした、安全でないのに安全であるかのように消費者を誤解させる説明は、うんざりするほどよく見かける。よそと違った仕組みを導入していると、「こんな対策をしています」と言いたくなる気持ちはわかるが、あまりに不用意だ。気付かずに言っているならどうしようもない担当者だし、知りながら言っているなら悪質だ。ただ、この記事では、記者が背景を説明せずに広報担当者から対策状況を聞きだした可能性もあるので、どちらに責任があるのかは不明だ。記者にしても、このくらいのことは自分で気付けないものだろうか。
*1 松本勉, 岩下直行, インターネットを利用した金融サービスの安全性について, 金融研究第21巻別冊第1号, 2002年.