ネット銀行不正引き出しは何が問題だった?(2)
さて、ウイルス感染が原因で不正に引き出されてしまった2005年7月の事件ですが、ウイルス対策をしていたにも関わらず、防げないケースがありました。
では、ユーザおよびネットバンク側では、どういう対応をすれば良いのか、について見てみたいと思います。
まずユーザ側ですが、
■ パーソナルファイアウォール(PFW)を導入する
例えばパターンファイルが間に合わず、ウイルスに感染してしまった場合、市販のPFWであれば、許可していないプログラムが通信を行おうとした場合に、警告を出すことができます。
ですので、ウイルスは、ユーザの許可がなければ、インターネットに情報を送ることができなくなります。
市販のウイルス対策製品には、PFW機能がついているものもありますので、もしPFWを単独で購入したりするのが面倒であれば、このタイプの統合セキュリティ対策製品を選びましょう。
そして、ネットバンキング側ではどういう対応が考えられるでしょう?
■乱数表の利用
「ネットバンキングは安全?」の記事でも紹介しましたが、毎回ユーザに対して、乱数と呼ばれる違う数字や記号を入力させる方法であれば、その乱数表をもっていなければ入力できませんので、防げた可能性が高いです。
■ソフトウェアキーボードの利用
ソニー銀行をはじめとして導入され始めてきた方法がこれです。
実際にキーボードを叩くのではなく、画面上のキーボードをマウスでクリックするものです。
これだと、通常のキーロガーが監視しているキーボードの履歴が残らず安全に送信できます。
ただ、この方法だと視覚障害の方は使えないという点がありますので、そのあたりも考慮した対策が今後は望まれますね。
—-
ネットバンキングでは、ユーザの利便性が落ちるということを理由に、乱数表の導入などを未だしていないところもあります。
確かにセキュリティと利便性はトレードオフと言われますが、ネットバンキングのような高いセキュリティが要求されるようなものは、これからは、利便性は犠牲にしなければならないかもしれませんね。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。