8月に書こうと思っていたが時機を逸してしまった話題シリーズ、その2。
一昨年5月12日の日記に書いていたように、2003年の3月にネットカフェでキーロガーが仕掛け られていて1600万円がインターネットバンキング経由で不正送金される事件が 起きたのを受けて、翌月にはこういう記事が書かれていた。
無力だったIDとパスワード
一方、銀行側のセキュリティに問題はなかったのか。
実は今回の事件、シティバンクが「乱数表」と呼ばれる認証手段を採用してい れば、未然に防ぐことも可能だった。乱数表は、利用者ごとに異なる数字が書 かれた表で、申し込み時に利用者に配られる。乱数表を採用しているネットバ ンキングの場合、利用者はIDとパスワード以外に、指定された乱数表の数字を 入力しなければ認証されない。乱数表を基に入力する数字は毎回異なるため、 仮に犯人が回収したログに乱数表の数字が残っていても、それを不正アクセス に使える可能性は格段に低くなる。
つまり、今回の事件が教えてくれるのは、「IDとパスワード」という従来の認 証システムの無力さ。これは銀行側も認めている。国内のネットバンキングに問い合わせたところ(下の表)、乱数表を使う銀行は「うちでは起こり得ない」、 IDとパスワードだけの銀行は「起こる可能性は否定できない」と、はっきり回 答が分かれた。
ネットバンクで1600万円が突然消える, 日経パソコン, 2003年4月8日
「乱数表神話」の誕生、だった。
なんとなく安全であるかのような気がしてしまう銀行の「乱数表」。乱数表と いってもビンゴカード程度のものでしかないが、「乱数表神話」が作られたとき、 一般市民達はヒステリックに乱数表の必要性を訴え始めていた。
親の入っているりそなダイレクトは乱数表(略)
これならスパイウェアを怖がらなくていいのですが、これを使用しているネッ トバンクが少ないです。私は乱数表を用いてログインするのが一番セキュリティ が高いと思うのですが、どうしてほかの銀行では採用しないのでしょうか?
そして今年の8月、こういう報道があった。
ネット銀行口座のIDやパスワードをスパイウエアによって盗まれ、預金を不正 に引き出された事件が、7月1日と5日に相次ぎ発生した。顧客自身のパソコン から情報が盗まれたのは国内で初めて。乱数表を使ってセキュリティ強度を高 めていた口座も被害に遭った。
(略)
一方、ジャパンネット銀行の顧客が被害に遭ったのが、なぜ衝撃的かというと、 同行が「乱数パスワード」の仕組みを導入しているからだ。顧客に「ID カー ド」と呼ぶ、16個の数を記載したカードを送付しておき、利用のたびに、どの 数をパスワードにするかを指定する。毎回パスワードが異なるため、一度や二 度、キー入力情報や通信データを盗み見られても、不正振り込みにつながる危 険性は低いとされていた。そのような考えから、アイワイバンク銀行、三井住 友銀行、UFJ銀行なども同様の仕組みを採用していた。
しかし今回、その「神話」が崩壊した。ジャパンネット銀 行の顧客6人の口座から、計379万6000円が不正に引き出された。手口は明らか になっていないものの、複数の顧客が被害に遭っていることから、何らかのス パイウエアが使われ、乱数パスワードを破られた可能性が高い。
国内ネット銀を狙うスパイウエア 国内ネット銀を狙うスパイウエア, 日経コンピュータ, 2005年8月3日
神話の崩壊、だった。
これに踊らされる人たちが、いた。
マスコミが神話を作り、マスコミが神話の崩壊だと叫ぶ。
神話など初めから存在しない。
次の神話崩壊は何だろうか。
というか、既に海外ではこういう報告が出ている。
フィッシング対策の業界団体である米Anti-Phishing Working Group(APWG) は米国時間8月22日,7月中に報告されたフィッシングならびにマルウエア(悪 質なソフトウエア)の動向をまとめたレポートを公表した。それによると, パソコンのスクリーン・ショットを記録して,ソフトウエア・キーボードへの 入力情報を盗むマルウエアが出現しているという。
ソフトウエア・キーボードへの入力情報を盗む“キーロガー”出現,パソコン画面をキャプチャする, 日経ITPro, 2005年8月25日
最初から予想されていたことだ。
銀行によっては銀行の担当者自身も予見していただろう。完全な対策にならな いことはわかっていながら、それでもなお、キーロガー対策をとりあえず何か やらざるを得ないということなのだろう。それは理解できる。しかし、重要な のは、対策の有効性の範囲(対策の限界)を包み隠さず示して、利用者に過度な安心感を抱かせないことだ。 なぜそれをしないのか。
まだ一年と経っていないが、今年夏の預金者保護法の成立でもはやいささか 古い話となりつつある 柳田邦男「キャッシュカードがあぶない」では、スキミングで簡単にコピー されてしまうキャッシュカードの安全性についての銀行側の考え方が、次のよ うに紹介されていた。
東京三菱銀行広報室の当時のコメントはこうだった。
「暗証番号はセキュリティの最後の砦として、まだ有効であり、暗証番号がき ちんと管理されていれば、お金が盗まれることはないと考えています。暗証番 号の管理は、お客さま個人個人にしていただかなければ、いかんともしがたい ところです」
まさに利用者の「自己責任」であって、システムの問題でも、銀行の責任でも ないというのだ。磁気カード自体がスキミングなどの盗用技術の発達に対しセ キュリティの機能を失っているのではないかという問いに対しては、次のよう な論理を持ち出す。
「鍵は破る手段があれば鍵ではない、ということにはならないと思います。今 のセキュリティシステムに問題がないと言うつもりはありません。しかし、今 すぐできる対策と、時間がかかるものがあることがご理解いただきたい。今す ぐできることは、最後の塹壕としての暗証番号の管理であり、この告知をしっ かりやるように頑張ります、としか言いようがないのです」
三井住友銀行広報部も全く同じだった。
「キャッシュカードは磁気ストライプが偽造されただけで被害に繋がるもので はありません。推測されにくい暗証番号にしていただくことや、キャッシュカー ドの管理に気をつけていただくことで、被害の防止は可能だと考えております」
柳田邦男, キャッシュカードがあぶない, p.188, 2004年12月
つまり、キャッシュカードの磁気ストライプはスキミングでコピーされてしま うが、暗証番号で保護しているのだから直ちに問題があるというわけではない という主張。
そして今日のニュース。
UFJ銀行は18日、首都圏の複数の無人店舗内の現金自動出入機(ATM)に、隠しカメラが取り付けられていたのが見つかり、撤去したと発表した。
(略)
同行によると、暗証番号が盗み見られたとしても、キャッシュカードを盗まれ なければ、被害に遭う可能性は低いという。仮にカード記載の口座 番号も一緒に盗み撮られて偽造カードが作られたとしても、預金の出し入れな どのデータが偽造カードにはないため、通常のATM操作では預金を引き出す ことはできないという。
ATMに隠しカメラ UFJ銀行、暗証番号盗撮か, 朝日新聞, 2005年10月18日
スキミングでコピーされる!と騒がれたら、 「暗証番号があるので大丈夫」。
暗証番号を盗撮される!と騒がれたら、 「キャッシュカードがないと無理なので大丈夫」。
今どき「スキミングに注意が必要」という話を引き出せない朝日新聞の無能っ ぷりに呆れる*1。
*1 ちなみに、共同通信配信の記事には、
と書かれている。同行は17日、容疑不詳のまま警視庁に被害届を提出。暗証番号が判明したカードをひったくったり、カード情報をスキミング(読みとり)したりして現金を引き出そうとしたとみている。
ATMに隠しカメラ UFJ銀の3都県十数カ所, 産経新聞(共同), 2005年10月18日