（銀行員が明かす）安全なインターネットバンキングの使い方

ワンタイムパスワードや電子証明書を使ってもそれだけではダメ！

インターネットバンキングに関する犯罪手法は欧米で流行したものが、
遅れて日本で発生する。
情報は錯綜しているが、対処さえしっかりすればほぼ被害には遭わないで済む。

注意すべき点は山ほどあるのだけれど、ユーザが全て完璧に行うのは無理。
実施可能で、有効性が高いものを重点的に、徹底して行う事が重要。
銀行は立場上、あれもこれも全部やれ、としか言えないけれど、
注意点が多すぎるとかえってユーザは混乱したり、
面倒になって適当な対処を行ってしまう可能性が高い。


本論で、とにかくやって欲しいこと、重視する点は
1.ログインしようとしているサイトが本物である事を確認する。
2.PCをウィルスから守る

この２点である。

1の確認は、IEをお使いであれば、アドレスバーが緑色になるかどうかで確認できる。
IE以外のブラウザでも、現行のPC用ブラウザであれば大抵はどこかが緑になる。
下のURL参照
https://www.digicert.ne.jp/service/ev-ssl-certification.html

これはEV-SSLという特別な証明書を使っているサイトの場合だけアドレスバーが緑になるブラウザの機能によるもの（IE6は未対応）。
緑になったのを確認する事は、実は100%本物サイトである事の保証にはならないのだけれども、
2014年5月現在の日本という状況でいえば、インターネットバンキングを利用しようとして
アドレスバーが緑だったら、本物だと思って良い。

だから、ぜひ緑である事は毎回、毎回、必ず確認してほしい。
銀行以外の重要なサイト（証券や保険等）の多くも同じシステムを採用しているので
ぜひ気にしてみて欲しい。



2は、普通のコンピュータセキュリティである。

「ワンタイムパスワードを使っているユーザが不正送金された」とか
「電子証明書方式を使っているユーザが不正送金された」とか
「変なポップアップが出現して、第二暗証番号を入力するよう促された」とかは
ほとんど、まずウィルスに感染している。
最近はマルウェアという言葉で表される事もあるけど、その辺りはなんと言ってもいい。

これを逆に言えば、ウィルスさえ防げて、アドレスバーが緑なのを確認できれば
安全にインターネットバンキングを利用できる。


あなたが個人ユーザであれば、
１.Microsoft Updateを自動更新にする。セキュリティパッチをどれだけ迅速に適用するかは、すごい重要だ。
2.Adobe Reader、 Flash Player等、Adobe製品を最新版にする。Adobeホームページに行けばやり方はわかる。これら無しには現代のWebは語れないが、残念ながらこれら無しには現代のセキュリティホールを語れないほど、多くの脆弱性が発見される。
3.Javaは、明確に使う事情がないなら、アンインストールする。必要になったら再インストールすれば良い。使う事情があるなら最新版を入れ、旧バージョンは削除する。放置されたJavaは、攻撃者に無限の可能性を与える。
4.ちゃんとしたウィルス対策ソフトを入れる。無料のものでもいいが、実績のあるものを選ぶこと。「無料のセキュリティソフト」を装った悪いソフトもあるので注意する事。
5.EMETをインストールする。EMETはマイクロソフト謹製のセキュリティ強化ソフト。アンチウィルスソフトとは方向性が違う。英語版しかないので注意。
6.時間がかかって面倒でも、定期的にウィルススキャンを行う。効かないと思っていてもやること。

何かのフリーウェアをインストールした時、意図せずにブラウザのツールバーに変なバーが
追加になっているような人は要注意だ。あなたは意図せずに何かをインストールされてしまう行動をしているという事だからだ。



あなたが法人ユーザであっても、上記の事情はほぼ同じだ。
違う点は「多くの場合、法人の被害は補償されない」事と「電子証明書安全神話」の存在。
特に注意して欲しいのは「電子証明書方式なら安全」とは言えないことだ。
大事なことなのでもう一度いう。個人の人もついでに聞いて欲しい。

「電子証明書方式やワンタイムパスワードを使っていても、PCがウィルスに感染していたなら、インターネットバンキングは安全じゃない」


これらで防げない不正手段の代表格は「マン・イン・ザ・ブラウザ（MITB）」攻撃と呼ばれるもの。
ブラウザにウィルスを感染させ、不正送金の手伝いをさせる。

あなたが
1：URLバーが緑の「正しいサイト」にアクセスし、
２：「正しいIDとパスワード」または「正しい電子証明書とパスワード」によってログインし、
３：振り込み内容の入力を行い、
４：振り込み時の認証を行い（銀行によってやり方は様々）
５：振り込みを実行し
６：確認画面を見る
７：設定によっては、確認メールが着信し、それを確認する

という操作を行う間、ウィルスは2までは何もせずに潜んでいる。
3で入力したあなたの振り込み内容をこっそりと書き換えるが、
あなたのブラウザ上には、「あなたが入力した内容」を表示する。
 一方、銀行側には書き換えた内容を送る。

銀行からの確認画面は、ウィルスに感染したブラウザにより、
やはり入力者（あなた）が入力した通りの内容に書き換えられる。
これをみたあなたは、ワンタイムパスワードなり、可変パスワードを入力し、
振り込みを実行する。実行した振り込みは、振込先も金額も書き換えられた振り込みだ。

最後の確認画面も、ブラウザによって書き換えられて表示されるので、あなたは不正送金に気づかない。

最後の確認メールは、事後的とはいえ、不正送金に気づくチャンスなので
早めに確認すべきだ。だが、確認メールの送信先がPCである場合は
ウィルスはご丁寧にこのメールまで書き換える機能を持っていたりする。

電子証明書方式はログイン時のセキュリティなので、あなたが正しいPCでログインしようとしているのを
邪魔したりはしない。よって、今回は何も防御しない。
ワンタイムパスワードも、上記の通り、あなたが入力してしまうので、何も守ってくれない。
「秘密の質問」なんかも同じだ。

そんな高機能なウィルスあんのか、と思う人もいるだろう。
しかしこれらのウィルスは、そこらのなんちゃってハッカーが趣味で作っているものとは違う。

既に世界中で猛威を古い、欧米の金融機関とのイタチごっこを勝ち抜き、
東西の犯罪集団を主な顧客として開発が進められ、常にバージョンアップ・機能追加され、
バージョンによっては手厚いサポートまでついてくるという
「インターネットバンキング犯罪ウィルス作成ソフト」によって作成されたウィルスなのだ。

これらのウィルスは極めて短期間のうちに亜種が発生する為、ウィルス対策ソフトの
パターンファイルに引っかからないものも当然でてくる。
よって、ウィルス対策ソフト以外の基本的なセキュリティ対策も重要になる。


ワンタイムパスワードや電子証明書方式が役立たずかのように思えてきたかもしれないが、そうではない事に注意して欲しい。
これらがあるからこそ、重点的に注意すべきポイントが絞られるのであって、
これらを投げ捨ててはいけない。


 -------------------------------------------


さて、実はこれら以外にも注意すべき事はある。上記を守れてさらに余裕があるなら読んで欲しい。

公衆無線LANには危険性がある。
現在一般的な方式を用いる限り、我々は
「自分が接続しようとしているアクセスポイントが、本物の事業者が設置したものか、それとも何者かが事業者と同じSSIDとパスワードで設置したアクセスポイントなのか」を見分ける方法が殆ど無い。
偽物アクセスポイントに接続した場合、様々な不都合がある。本論と少しずれるので詳細は省くが、
仕事やオンラインバンキングで使うPCで公衆無線LANを使わないようが良いかもしれない。


他のサイトと同じID・パスワードのセットを用いない
あっちこっちで、ID・パスワードの大量流出事件が相次いでいる。これら流出したID・パスワードはリスト化されて売買されている。
このリストを買った悪者は、インターネットバンキングサイトに対して、入手したID・パスワードのセットを
片っ端から試してみる。
ご存知の通り「同じID」に対して数回間違ったパスワードを入れれば、そのIDにはロックがかかるが
この攻撃であればロックはかからない。流出したリストに載っていた人の中には、同じIDとパスワードを
オンラインバンキングで使いまわしている人が居るもので、こうして不正ログインされてしまう。

ただし、一般的なサイトであれば、パスワードはログインパスワードのみで、第二パスワード的なものはない。
インターネットバンキングでは、普通振り込みのためには何か第二認証的なものが必要なため、
不正ログインを許してしまったとしても、必ずしも不正送金には直結しないため、本論では省いた。

SSLを理解するし、活用する
SSLというのは、インターネット上の通信を暗号化する為の仕組み。普段、多くの人は意識していないだろうけれども、とっても重要。
インターネットというのは、本来、すごく適当で、秘密のデータやパスワードのやりとりには向いていない。
途中で傍受される可能性もあれば、改変されてしまう事もあるし、色々な危険性がある。
SSLは、これらの危険性の多くに対して、完璧ではないものの非常に現実的なレベルの安全性を与えてくれる素晴らしい仕組みだ。
しかし、一般ユーザがこれをちゃんと理解していないと意味が薄れる。
ぜひ、いくつか簡単なSSLの解説ページを読んで欲しい。これはインターネットバンキング以外にも役立つ、大切な知識になるはず。


  -------------------------------------------


追記：Windows XPでインターネットバンキングを使い続けるのは相当危険です。
実際に被害に遭うかどうかは運次第なのでしょうが、確率は飛躍的に高まるでしょう。
ちなみにIE6では、EV-SSLでもアドレスバーが緑になりません。

追記２：個人の場合、デュアルブートにしてインターネットバンキングはLinuxで使う、というのもありです。
Linuxを狙うウィルスが非常に少ない事に依拠した戦術です。
多くの銀行は公式にはLinuxを動作対象にしていませんが、大抵実際には動きます。
法人も動くところが多いですが、肝心の電子証明書のインストールができない場合が多いです。

追記3：三井住友銀行が個人向けに25年10月より導入開始した「パスワードカード」という
ワンタイムパスワード生成器は、単に時間経過によってワンタイムパスワードを生成するだけでなく、
取引内容によって変化するワンタイムパスワードを生成できる強力な機械です。
この機能は上記のMITB攻撃を防ぎうる性能をもっていますが、残念ながら三井住友銀行は
フル機能を提供していないようです。将来、銀行側のシステム変更でフル機能を提供できれば、
インターネットバンキングでの安全確保において非常に大きな意味を持つでしょう。

注記４：ソフトウェアキーボードの利用は無意味とは言わないが、攻略方法が広く知られており、
現在問題になっているようなウィルスの前には有効ではないと思われる。

-------------------------------------------

インターネットバンキング不正送金の多くは、単なる泥棒ではなく、国内外の犯罪組織によるものと
考えられています。
インターネットバンキングの被害を防止できなければ、ユーザや銀行に被害が及ぶだけでなく、
犯罪組織に活動の資金源を与えることになります。

犯罪組織とは、一般的にイメージされる暴力団のようなものだけでなく、国際的なマフィアや
テロ組織である可能性もあります。みなさんが適切な対処を行い、不正送金を未然に防げれば
これらの組織への資金流入を抑える事ができるのです。