8月に書こうと思っていたが、時機を逸してしまった話題。
などのように、今年の夏は、スパイウェアが原因でインターネットバンキング で金銭被害が出たことが報道されたことから、各銀行がこぞってスパイウェア 対策に乗り出すという展開となった。
銀行が何らかの対策を発表するたびに、新聞やネットメディアで報道が繰り返 されたが、技術者の間からは「そんなものでは対策にならないのに」という懸 念の声が出ていた。
たしかに、スパイウェアに感染するような事態、つまり、悪意あるプログラム (トロイの木馬)を実行してしまうようなユーザのコンピュータでは、もはや、 銀行側でどんな対策をしたところで、この種の被害を完全に防ぐことは不可能 である。
しかし、完全な対策にならないからといって、その対策に全く意義がないとい うことにはならないのだろう。キーロガーによる攻撃が流行しているときに、 キーロガーを無効にする対策をするのには、一定の意義があるということなの だろう。
もっとも、「この銀行はキーロガー対策されているので」との認識から、ユー ザが、他の種類のトロイに対する注意を疎かにするということも起こり得る。 技術者達が「そんなものでは対策にならないのに」と懸念したのは、そうした 事態を心配してのことだろう。
だから、銀行は、対策を発表する際には、その対策が限定的なものであること を示さなくてはいけない。キーロガー対策であるなら、キーロガーへの対策に はなるが、その他のスパイウェアには効果がないので注意を怠らないようにと、 注意喚起するべきである。
たとえばソニー銀行の場合、キーロガー対策として「ソフトウェアキーボード」 なるものをサービス開始した際に、次のように表現に注意した発表をしていた。
キーボードの操作履歴が残らないため、入力情報を記録してパスワードなどを 盗用するタイプのスパイウェアに対して、通常のキーボードに比べ 安全な入力方法です。
スパイウェア等による不正利用防止のための機能追加について, ソニー銀行, 2005年8月1日
キーロガー以外のスパイウェアには依然として注意が必要であることの説明は 書かれていないものの(どうして書かないのだろうか?)、キーロガータイプ のスパイウェアに対して効果があるという書き方になっている。
それに対し、たとえばイーバンク銀行の同様の対策の発表においては、あたか もスパイウェア全般に対して効果があるかのような記述になっていた。
スパイウェア等による不正利用の対策として、暗証番号を安全に入力できる「ワンタイムセキュリティボード」(以下セキュリティボード)を8月5日(金)より導入いたします
イーバンク銀行、スパイウェア対策として「ワンタイムセキュリティボード」を導入, イーバンク銀行, 2005年8月4日
訴訟対策という意味でも不用意な表現ではなかろうか。
まあ、対策をした企業の立場からすれば、せっかく対策したのだから、最大限 有意義な対策であるかのように発表したくなるという気持ちはわからなくもな い。
だが、報道機関がそれを鵜呑みにして垂れ流すというのはいかがなものか。 日経コンピュータは、このイーバンク銀行の発表をうけて、次のような報道を していた。
これからはイーバンクを利用して出金などの取引をする際、4〜12桁の数字からなるパスワードの入力欄の下に、0から9まで各数字を特定の英字に置き換えた表が表示されるようになる。ユーザーはこの表に従って、パスワードの数字を置き換えた英字を入力する。 表は利用のたびにランダムに変わるので、スパイウエアなどで一度や二度キー 入力情報や通信データを盗み見られたとしても、 不正振り込みにつながる危険性は低い。
イーバンク銀行がスパイウエア対策にワンタイム・パスワードを導入, 日経コンピュータ, 2005年8月4日
これは明白に誤りである。「通信データを盗み見られた」場合は対策にならない。 「通信データを盗み見られた」という状況*1では、この対応表も同 時に盗み見られるからだ*2。
イーバンク銀行は発表文で「通信データを盗み見られたとしても」とは書いて いなかったのに、日経コンピュータは誤った報道をして、イーバンク銀行のユー ザを過大に安心させるという過ちを犯した。
企業がセキュリティ対策をしたと発表したとき、「本当にそれで対策になって いるの?」との疑いを持って伝えるのが、ジャーナリストの役目だろう。イン ターネットが普及した時代、企業のプレスリリースは、誰でも簡単に直接読む ことができる。それを右から左へと無批判に横流しするだけなら、そんな報道 機関に存在価値はない。