2006年02月03日(金) 11時50分
ジャパンネット銀行、「全顧客にSecurID配布」の理由(ITmediaエンタープライズ)
ジャパンネット銀行が導入するSecurID。トークンそのものを所有していない限り、振込みなどの処理は行えない仕組みになる 写真:ITmedia
|
ジャパンネット銀行は1月26日に、同行の利用者全員にRSAセキュリティのワンタイムパスワードトークン「SecurID」を配布することを発表した。オンライン取引時の認証を強化し、スパイウェアによる被害を防ぐことが目的だ。5月より順次導入を開始し、9月には一部の休眠口座を除いた約130万人全員に配布する計画という。
オンラインバンクやショッピングサイトで「希望者」にトークンを配布するというケースは増えてきている。しかし、利用者全員にRSAセキュリティのワンタイムパスワードを配布するのは、世界的に見ても例がない。
この措置に伴い、口座維持手数料は従来の月額105円から月額189円に改定される(ただし、預金残高が10万円以上など、一定の利用基準を満たす顧客は従来通り無料)。
とはいえ、トークン本体や認証サーバなどへの設備投資は相当の額に上る。にもかかわらずこうした手段に踏み切った理由は、「『スパイウェアは怖いから、インターネット決済自体をやめてしまおう』という方向ではなく、何とかセキュリティレベルを高め、安心して使える環境を作りたいと考えたため」と同社企画部長の杉田浩一氏は述べた。
●きっかけはスパイウェア事件
ジャパンネット銀行がワンタイムパスワードの採用を決めたこの日、くしくも、スパイウェアを用いて情報を盗み取り、同社の口座から不正送金を行った男が、不正アクセス禁止法違反と電子計算機使用詐欺の疑いで逮捕された。
この事件も含め、2005年はスパイウェアによる金銭的被害が明るみに出た一年だった。キーロガーを仕込んでのID/パスワード詐取という従来からの手法に加え、ターゲットを絞ってスパイウェアを添付したメールを送りつけたり、CD-ROMを郵送してインストールさせるなど、さまざまな手口でID/パスワードの詐取が試みられ、実際に金銭的な被害につながってしまった。
ジャパンネット銀行ではこれまで、ユーザー認証の際、紙に印刷した乱数表を「IDコード」として利用してきた。ログイン時には、印刷された16個の数字の中からランダムに4つを選んで入力する仕組みだ。
しかしこの方法では、乱数のばらつき度合いは、攻撃者による推測を困難にするには十分とは言い難い。スパイウェアによる不正送金事件が発生したことも踏まえ、社内で対策を検討した結果「より根本的な対応として、ワンタイムパスワードトークンを選択した」(同社企画部企画グループ、広報担当の斉藤友香氏)という。
「たとえPCの中のものがすべて盗み取られたとしても、安全な仕組みを提供したい」(斉藤氏)
コールセンターに問い合わせてきた顧客に、ワンタイムパスワードの導入についてヒアリングを行ったところ「おおむね利用には前向きという結果が得られた」(同社マーケティング部Web企画グループ長、北周介氏)。
2004年から2005年ごろを境にマルウェア作者の性質は変わった、と言われる。かつてのような愉快犯ではなく、明らかに金銭目当ての犯罪が増加している。
ジャパンネット銀行も一連の事件によって、そうした変化を実感した。「いまや新たな局面に入っている。スパイウェア時代に見合ったセキュリティ対策を提供しつつ、24時間365日利用できる利便性を維持するには、こうした対策が不可欠だ」(杉田氏)。今後も「一定の知識さえあれば、独自にスパイウェアを作成できてしまう。今後も、日々新しいものが登場してくるだろう」とし、スパイウェアの先も見据えながら継続的にセキュリティ対策に取り組んでいきたいとした。
●制度的な対策も
なおジャパンネット銀行では、SecurIDの導入以外にも、いくつか不正送金を防ぐための対策を講じているという。
たとえば、一定時間放置された取引画面のタイムアウト、IDコード入力画面を一定回数以上表示した場合のロックといった措置を取るほか、振り込みや出金などの処理を行うたびに本人に電子メールで通知する。さらに、出金限度額の設定や補償といった制度的な部分での対策も用意しているという。
顧客に対しては、セキュリティ上の注意と同社の対策を解説するWebページを用意しているほか、定期的にメールマガジンを配信し、その中で最新のセキュリティ情報に触れるようにしている。「体裁は当然、HTMLメールではなくテキストメール」(杉田氏)。電子署名こそ採用していないものの、文章のテイストや体裁に統一感を持たせ、仮に同行をかたったフィッシングメールが送られてきたとしても「毎週メールを読んでいる人には『何か変だな』と気づいてもらえるような形」(同氏)を心がけているという。
「金融は最大のデジタルコンテンツであり、Webを最も活用すべき業態だ」と杉田氏は述べ、「スパイウェアによる被害は怖いけれど、どうしたらいいか分からない」という顧客に、できるだけ安心して利用してもらえる環境を整えていきたいとした。
http://www.itmedia.co.jp/enterprise/
(ITmediaエンタープライズ) - 2月3日11時50分更新
http://headlines.yahoo.co.jp/hl?a=20060203-00000036-zdn_ep-sci