<前の日記(2003年05月11日) 次の日記(2003年05月14日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1040   昨日: 3744

2003年05月12日

事前登録のパソコンでしか取引できないという対策

サンスポの3月の記事「ネットバンキングに不正アクセス 1600万円盗む」によると、

ネットカフェや漫画喫茶に個人情報を収集するソフトを勝手に仕掛け、パスワードなどを不正に取得し、他人の口座から約1650万円を送金させ約1600万円を引き出した会社員ら2人が6日、警視庁に逮捕された。 ... 容疑者は、都内や神奈川県内のネットカフェや漫画喫茶など十数カ所のパソコンに“秘密兵器”を仕掛けていた。「キーロガー」。パソコンのキー操作をすべて記録するソフトで、打ち込まれたパスワードやメールの内容などを知ることできる。

という事件があったそうだ。

ネットカフェで銀行取引をするなどという、被害者の無用心さの問題もあるわけだが、大手の銀行は、こうした盗聴行為が行われてもある程度の安全性が得られるよう、乱数表によるチャレンジレスポンス方式を採用している。たとえば三井住友銀行の場合では、縦横4列の計16個の枠にランダムな2桁の10進数の書かれた「暗証カード」が契約者の手元に送付されてくる。ネットバンキングで重要な操作をする際、サイト側からランダムに2か所の枠を指定されるので、そこに書かれた計4桁の数字を送信して、本人確認とする。

こうした方式がとられている銀行をネットカフェで利用し、キーロガーによってタイプした文字を盗聴されたとしよう。しかし、犯人は、不正ログインできても、サーバが偶然に同じ2つの枠を指定してこない限り、送金を実行できないことになる。むろん、正規利用者がネットカフェで何度も繰り返し取引を実行すると、16か所の枠がビンゴカードのように次々と盗まれていくことになるので、安全性は徐々に低下していく。このあたりの確率計算の試みが文献*1にある。

さて、冒頭のサンスポの記事には続いてこう書かれている。


 ネット専業のソニー銀行はサービスに応じて別のパスワードを設定、顧客が送金サービスを使う際には、3種類の「合言葉」を答えないと利用できない仕組み。さらに事前登録のパソコンでしか取引できないという対策も講じている。

これはどういうことなのか。

「事前登録のパソコンでしか取引できない」といっても、IPアドレスを書面で申請しておくわけではない。「事前登録」はいつでもオンラインで可能なのだ。ネットカフェのパソコンを「事前登録」することもできる。どういうことなのか、ソニー銀行をネットカフェで使う場合を例にとって手順を説明しよう。

まず、口座番号とパスワードを入力する。すると、「事前登録のパソコン」ではないため、2つ目の暗証番号の入力を要求される。これを正しく入力してパスすると、今度は、3つの合言葉の質問に文字列で答えることになる。質問と回答は、よくあるパスワードリマインダのような形式で、「お気に入りの○○は?」といった感じだ。3つとも正しく入力すると、IDの記載されたcookieが発行され、それ以降は、同じパソコンからならば(正確には、同じブラウザからならば)、最初のパスワードだけでログインできるというわけだ。

さて、これをネットカフェで実行したとき、キーロガーが仕掛けられているとどうなるか。当然ながら、最初のパスワードと、次の暗証番号と、3つの合言葉は、全部そろって盗まれる。つまり、ネットカフェでキーロガーを仕掛けられて銀行口座を乗っ取られたという事件報道の文脈において、

3種類の「合言葉」を答えないと利用できない仕組み。さらに事前登録のパソコンでしか取引できないという対策も講じている。

というのは、何ら効果のある対策ではない。

こうした、安全でないのに安全であるかのように消費者を誤解させる説明は、うんざりするほどよく見かける。よそと違った仕組みを導入していると、「こんな対策をしています」と言いたくなる気持ちはわかるが、あまりに不用意だ。気付かずに言っているならどうしようもない担当者だし、知りながら言っているなら悪質だ。ただ、この記事では、記者が背景を説明せずに広報担当者から対策状況を聞きだした可能性もあるので、どちらに責任があるのかは不明だ。記者にしても、このくらいのことは自分で気付けないものだろうか。

プレビュー機能が欲しい

はてなダイアリーにプレビュー機能がないのはイタい。書きかけの文章を見られてしまうじゃないか。

*1 松本勉, 岩下直行, インターネットを利用した金融サービスの安全性について, 金融研究第21巻別冊第1号, 2002年.

検索

<前の日記(2003年05月11日) 次の日記(2003年05月14日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2003年05月11日) 次の日記(2003年05月14日)> 最新 編集