ネットバンキングは安全?
銀行ATMの代わりに、インターネットで振込みや取引内容を確認するのはかなり一般的になってきましたよね。
どこの銀行も、セキュリティ対策はしていますと宣言してますが、果たして本当に安全なんでしょうか?
ある銀行では、ID・パスワード(4桁の数字)でログインし、振込み時には別のパスワードを必要とします。
一見安全そうに見えますが、IDと振込み時のパスワードは、銀行からもらったカードに記載されていますので、これを持ち歩いて紛失や盗難にあうということも考えられますね。
ログイン用のIDはわかっているわけなので、あとは4桁のパスワード(銀行の暗証番号と同じ)を破るだけでいいんです。
パスワードとして4桁、しかも数字のみというのは、組み合わせが少ないため、すぐ破られてしまう危険性があります。
しかも、銀行の暗証番号自体は、みなさんは自分の誕生日や覚えやすい番号を設定している可能性が高いので、持ち主の身辺をちょっと調べれば簡単にわかってしまうかもしれませんよね。
でも、ログインID「11111111」に対し、「0001」「0002」「0003」と、順に試していけば、何回かトライした時点でロックがかかるようになるのが普通です。
でも、逆のケースではロックがかからないシステムもあるそうです。
つまり「0001」という暗証番号は共通で、「11111111」「11111112」というようにログインIDを変えて試すという方法です。
また、昔事件があったように、インターネットカフェでネットバンキングに繋げていたら、そのパソコンにはキーロガーが仕込まれていたというケースです。
キーロガーとは、キーボード操作の履歴を残しておくもので、その履歴からID・パスワードが漏れてしまう可能性があります。
もし銀行側で「乱数表」というものが使われていれば、このケースにもある程度対応できます。
乱数表とは、例えば以下の「*」印の部分が利用者ごとに違うカードが配られ、毎回利用時に「”A-1“の数字入れてください」という指示が与えられるんです。
| 1 | 2 | 3 | |
| A | * | * | * |
| B | * | * | * |
利用者ごとに「A-1」の数字は違うし、次回はまた別の指示が与えられるので、ID・パスワードが盗まれても安全なわけですね。
でも、この場合も、乱数表が書かれたカード自体が盗まれた場合は危険です。
ネットバンキングを利用する場合には、以下の点を注意するようにしましょう。
1. ネットバンキングのIDが書かれているカード(紙)は極力持ち歩かない。もしくは銀行の名前がわからないよう別の紙に書き写す
2. インターネットカフェなどでは絶対にネットバンキングは利用しない
3. 銀行からのメールでID・パスワードを入力させようとするものは無視する(フィッシング対策)
4. 暗証番号は定期的に変更し、推測されないような数字にする
会社のPCなどでも、もしかしたらキーロガーが仕込まれている可能性もあるので、十分注意しましょうね。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。