普及の陰にセキュリティ向上
手元のPCから手軽に自分の口座の残高照会や取引履歴、振込、振替、さらには税金・料金払込みなどのサービスを利用することができるネットバンキングの利用が拡大している。わざわざ混んでいるATMの前に並ばなくても、自宅でさまざまな金融取引ができるというメリットに加え、個人の取引口座であれば維持費もかからないというメリットもある。
みずほ銀行のネットバンキングサービス「みずほダイレクト」の現在の契約者数は約700万。その数は毎月10万という単位で増え続けているという。
利用者が急速に増えるのも当然だが、しかしそう簡単に今日の状況を迎えたわけではない。ここに至るまでにはかなりの時間がかかっている。ネットそのものの脆弱性が懸念され、その上で金融取引をすることにかなりの躊躇いがあったからだ。インターネットバンキングの普及とそのセキュリティ強化は、表裏一体の関係にあったのである。
同行のネットワーク営業開発部リモートチャネル営業チーム参事役である佐藤健氏が、こう語る。
「1990年代からネット経由の銀行取引には取り組んできましたが、2003年にリモートバンキングのサービスを体系化し、現在のみずほダイレクトの提供を開始しています。この時点では、認証に関しては基本的にそれまでのIDとログインパスワード、取引パスワードという2つのパスワードによる方式を踏襲していましたが、2004~2005年あたりから不正利用というニュースが出始め、お客様もインターネットのセキュリティに従来以上に関心を持つようになってきました。そこで現在までにも、細かい認証の部分を何度も変えてきています」
2004~2005年当時、国内外でキー入力を盗み出すキーロガーや、操作画面を動画として記録し外部に送信するスパイウェアなどが発見され、それによってパスワードが不正に盗まれたり、顧客の口座から勝手に振込がなされたりという事件が相次いだ。
そこでみずほ銀行も、2005年にはログインパスワード入力時のソフトウェアキーボード利用を開始、また振込などの取引時の暗証番号を取引の都度指定する数字を入力してもらうよう変更。2006年1月にはログインパスワードを6桁から32桁に増やすなど、さまざまな対策を講じてきた。
「こうした対策については、現在は他行もだいたい標準整備されているようですが、当時としては他社に先駆けて取り組んできたわけです」と佐藤氏は自信を見せる。
利便性確保とセキュリティ向上の二律背反
しかし残念ながら、セキュリティ対策に終わりはない。スパイウェアやフィッシングなどとの“いたちごっこ”という側面は否めない。
そこで、みずほ銀行でも新しいセキュリティ技術について取り組みを強化、毎年のようにいくつかの対策を打ち出してきた。そして、最新のセキュリティ強化策として打ち出したのが「ワンタイムパスワード」と「リスクベース認証」の2つだ。
まず、2007年に従来のランダム方式の取引認証に加えて、ワンタイムパスワードの導入を決めた。2008年3月に導入を開始している。