ニュース

韓国のネットバンキング事件 ハッキングプログラム利用し、5000万ウォン不正に引き出す 金融業界、セキュリティ強化対策に苦心

2005/06/27 21:42

週刊BCN 2005年06月27日vol.1094掲載

 【ソウル発】韓国でインターネットバンキング利用者のパソコンをハッキングし、巨額の預金を引き出した史上初の事件が発生した。犯人はインターネットでダウンロードしたハッキングプログラムを被害者のパソコンに遠隔でインストールし、インターネットバンキング関連情報を探り、犯行を及んだとみられている。被害額は5000万ウォン(約500万円)にのぼる。今回の事件は、銀行のネットワークに問題があったわけではないが、ちょっとした利用者の不注意から簡単にインターネットバンキング事件が発生してしまうという点で大きな衝撃を与えることになった。

 韓国のインターネットバンキングシステムは3重の安全装置を整えている。まずインターネットバンキングにアクセスするためのIDとパスワードがなければならない。次にアクセス後の取り引きのためには公認認証書が必要である。公認認証書は銀行や郵便局で本人が直接申し込み利用者番号をもらい、インターネット経由でパソコンにダウンロードしておくか、リムーバブルディスクに保存して使う。

 最後に保安カードを利用する。保安カードはインターネットバンキングを申し込むと渡される乱数カードで、4ケタの乱数が30種類書かれている。取り引きごとにインターネットバンキングシステムは何番目の数字を入力しなさいと要求し、その通りの番号を入力しなければならない。

 このように複雑な構造を持つインターネットバンキングシステムだったが、ハッキングは簡単な方法で行われてしまった。

 犯人は手軽にダウンロードできる初歩的なキーボードハッキングソフトウェアを使った。被害者が特定サイトにアクセスし、掲示物を読むためにタイトルをクリックした途端、自動的にパソコンにハッキングソフトウェアがインストールされるようにし、被害者のキーボード入力を犯人のパソコンからモニタリングした後、パスワードを全部調べてから犯行を起こした。

 犯人はインターネットバンキングアクセスIDとパスワードを調べてから銀行のサイトにアクセスし、本人になりすまして公認認証書を再発行し自分のパソコンにダウンロードした。保安カードの乱数は毎回2番目の数字、5番目の数字と違う数字を要求するようになっているが、ログアウトと再ログインを繰り返すことで犯人が知っている数字が出るまで入力し続け該当数字を当てた。

 現行のインターネットバンキングシステムでは、保安カードの番号を3回間違うと取り引きができないようにシャットアウトされるようになっているが、2回間違えたところでログアウトし再ログインすれば問題にならない。

 この事件以後、金融業界は防止のため多様な措置を用意している。まず公認認証書を再発行する場合、登録された本人の携帯電話へ暗証番号を送信し、その暗証番号をもう1度入力させるなど本人確認を大幅に強化する見込みだ。保安カード入力の場合も、2回間違えて再度ログインした場合、繰り返し同じ番号を要求するように変える計画だ。また、セキュリティプログラムが利用者のパソコンに自動インストールされるようシステムを補うことにした。

 韓国銀行の発表では、韓国のインターネットバンキング利用者数は2005年3月現在2257万人にのぼる。昨年9月は2589万人だったが、一部の銀行が長期間利用していない顧客を整理し、利用者数はわずかに減少した。
鄭載学(ジョン・ジェハク=BCNソウル特約記者)
  • 1