金融機関の対策の現状
もう一度話を日本に戻そう。欧州の先進国やシンガポールほどではないが、日本でも少しずつネットバンキングにおけるハッキング対策は進みつつある。
ここ数年で、地方銀行や信用金庫を含む多くの国内金融機関がワンタイムパスワードの導入を始めている。当初はユーザーに数字が羅列されたマトリクスカードを配布し、ユーザーがログインする際、ブラウザに表示されたチャレンジに従ってマトリクスカード上の数字を打ち込むものだったが、それに対するアタックが急増した結果、ワンタイムパスワード生成トークンの導入が加速した。
例えば三井住友銀行は2013年10月に、ゆうちょ銀行は2014年6月に導入しており、三菱東京UFJ銀行も2015年5月には導入予定だ。ただしこれらのトークンはユーザーが自ら申し込みをするもので、使用を強制されるものではない。
また、法人口座には公開鍵基盤(Public Key Infrastructure:PKI )を利用しているところもある。だが、ワンタイムパスワードでは"Man in the Browser(MITB)"などの中間者攻撃を防ぐことはできず、すでに三井住友銀行などでアタックが確認されている。またPKIも破られたケースが判明しており、より耐性の強い防御が求められているのが実情だ。
こうした中、関係省庁や全銀協から、ネットバンキングの安全性に関する指針がいくつか発表されてきた。
まず2013年5月には、警視庁から不正送金事案への対策についての指針が発表されている。ここではワンタイムパスワードの使用が推奨されている。
続いて2013年6月、金融庁から監督指針が出されているが、この内容は静的パスワードの代わりにワンタイムパスワードとPKIをインターネットバンキングに使用するようにというもの。対象は大手銀行から地方銀行までで、個人口座の被害を金融機関が負担することを想定している。
そして2014年5月、全銀協が発表した法人口座のインターネットバンキングに関する指針では、電子署名をICカードなどのPCとは別の媒体に格納することや、ワンタイムパスワード(トークン生成器、電子メール通知など)の強化が推奨されている。
こうしてみると日本のネットバンキングにおける対策はまだ始まったばかりだといえる。だがネットバンキングにおける最大の脆弱性は各金融機関ではなくユーザーだ。特に狙われている自覚の薄い日本のユーザーの意識をどうセキュリティに向かせるか、これこそがネットバンキングにおける最大のチャレンジかもしれない。
- 相原敬雄(あいはら たかお)ジェムアルト株式会社 セキュリティ 部長
- セールスディレクターとしてインターネットバンキング関連の製品やサービスを統括。現職以前は、法人向けのセキュリティ製品を担当し、法人向けセキュリティソ リューションのビジネス発展に貢献する。電子認証ソリューション大手企業の日本支社の立ち上げに従事した経験を持ち、大手金融機関やオンラインゲーム会社をはじめとする法人向けのワンタイムパスワードトークンなど、二要素認証製品の普及を推進。