ワンタイムパスワードでも安心できない!?<br />安全なオンラインバンキングのための新技術ジェムアルトのフィリップ・レニエ マーケティング担当シニア・バイス・プレジデント

 三菱東京UFJ銀行、三井住友銀行のオンラインバンキングサービスが、今年6~7月から相次いで乱数表暗証カードの使用を中止し、すべてワンタイムパスワード発生機またはスマートフォンアプリに切り替えると、相次いで発表した。乱数表の数字全部を盗み取るような詐欺の手口も明らかになり、銀行側も対策に追われている。

 日本では、依然として猛威を振るう振り込め詐欺の陰に隠れているが、オンラインバンキングを狙った犯罪被害も拡大している。

 金融機関のセキュアな取引システムを構築しているジェムアルトは、フランスに本社を構え、世界140ヵ国以上で事業を行っている。同社のフィリップ・レニエ マーケティング担当シニア・バイス・プレジデントが来日し、世界の金融犯罪の動向と日本が取るべき対策について語った。

 ジェムアルトは、企業や一般消費者が決済場面で使用するICカードやスマートフォン(スマホ)のセキュリティを確保するサービスを提供している。加えて、携帯電話SIMカードの管理サービス、クレジットカード、キャッシュカードなどの金融分野、企業の入退館管理のIDカードやそれらの読み取り機の提供も行う。

 日本のマイナンバーに相当する政府扱いのIDカードに絡むサービスも、海外では提供している。ハード、ソフト全体を開発する体制を整えているが、直近では米国でデータ暗号化技術の企業を買収し、暗号化技術も含めた総合的なセキュリティサービスを提供していく計画だ。

不正送金の手口は
地域によりレベルが異なる

 同社によれば、オンラインバンキングに関する犯罪のレベルは、国や地域ごとの事情によって、いくつかのグループに分かれている状況だという。

 まず最も簡単な2つ程度の暗証番号(PINコード)を口座の認証に使う方法だが、先進国の銀行ではすでにあまり使われていない。犯罪者は複数の暗号でもその気になれば盗み出すことが可能で、安全とは言えない。

 次の段階として、取引ごとに乱数表を使ってパスワードを変える方式が登場し、多くの国で利用が進んでいる。だが数字が書かれたカードは、冒頭に書いたようにその情報を丸ごと盗み取るような大胆な手口も出てきた。そのため、暗証番号を電子化した「ワンタイムパスワード」を使う方式に移行が進んでいる。日本もこの段階にある。

 だがワンタイムパスワードも、欧州など犯罪が高度化した地域では、すでにハッカーによって破る方法が確認されている。「中間者攻撃」(Man In The Middle Attack)という手法で、金融機関と口座利用者の通信の間に割り込んで、送金手続きを乗っ取られるという。

 また、取引時にSMSを使って本人の携帯電話にショートメールを送って、そのコードでログインする方式も、新興国を中心に広く使われている。だがこれも、ショートメールをすべて転送するマルウェア(ウィルス)の登場によって安全とは言えなくなった。このマルウェアに感染したスマホは、利用者にはまったく気づかれずに他人の銀行口座から不正に送金することもできるという。