視点
「なりすまし」を防ぐには
2005/09/12 16:41
週刊BCN 2005年09月12日vol.1104掲載
今年の7月、キーロガーによって入手したIDとパスワードによる不正振込み事件が次々と発覚した。キーロガーはスパイウェアの1種で、キーボード入力を記録するソフトであり、種類によっては、その記録を外部に送信するものもある。推測不可能なランダムな文字列をパスワードにしていても、入力したパスワードがそのまま盗まれるのだから「なりすまし」は防げない。当然のことながら、オンラインバンキングサービスを提供する大手銀行やネット銀行は、さまざまなキーロガー対策を打ち出している。
例えば、みずほ銀行は8月22日から、第2暗証番号の入力を全ケタ入力からランダムに指定された4ケタを入力する方法に変更するとともに、画面に表示したキーボード(ソフトキーボード)をマウスでクリックすることによってログインパスワードを入力する方法を採用した。マウスのクリックはキーロガーでは記録できない。また、イーバンク銀行は、8月5日から画面に表示した暗号表を使って暗証番号を別の文字列に置換して入力する方法を採用している。暗号表はログインごとに異なるので、入力情報を盗まれても暗証番号は分からない。
しかし、こうした対策も完璧とは言い難い。最近のスパイウェアの中には、画面を記録して外部に送信するものもある。キー入力と画面を同時に記録すれば、こうした対策は水泡に帰してしまう。
そこで提案なのだが、思い切って公的個人認証システムを銀行に開放してはどうだろう。公的個人認証システムは公開鍵暗号方式による電子署名を用いており、秘密鍵が盗まれない限り「なりすまし」が起きることはない。その秘密鍵は、住基カードあるいは同様の仕様のICカードに収められ、電子署名もICカード内で処理されるため、ICカードさえきちんと保管していれば「なりすまし」が起きる危険性はほとんどゼロになる。
現在、公的個人認証システムは、国や地方公共団体の行政機関などと民間の認証事業者にしか開放されていない。直接民間に開放すると、民業を圧迫するからだと言われている。しかし、現実には圧迫する民間の個人認証サービスの実態はほとんどない。ネット上の「なりすまし」を防ぐ究極の手段である公的個人認証システムがあるのだから、これを使わない手はないのではないか。
例えば、みずほ銀行は8月22日から、第2暗証番号の入力を全ケタ入力からランダムに指定された4ケタを入力する方法に変更するとともに、画面に表示したキーボード(ソフトキーボード)をマウスでクリックすることによってログインパスワードを入力する方法を採用した。マウスのクリックはキーロガーでは記録できない。また、イーバンク銀行は、8月5日から画面に表示した暗号表を使って暗証番号を別の文字列に置換して入力する方法を採用している。暗号表はログインごとに異なるので、入力情報を盗まれても暗証番号は分からない。
しかし、こうした対策も完璧とは言い難い。最近のスパイウェアの中には、画面を記録して外部に送信するものもある。キー入力と画面を同時に記録すれば、こうした対策は水泡に帰してしまう。
そこで提案なのだが、思い切って公的個人認証システムを銀行に開放してはどうだろう。公的個人認証システムは公開鍵暗号方式による電子署名を用いており、秘密鍵が盗まれない限り「なりすまし」が起きることはない。その秘密鍵は、住基カードあるいは同様の仕様のICカードに収められ、電子署名もICカード内で処理されるため、ICカードさえきちんと保管していれば「なりすまし」が起きる危険性はほとんどゼロになる。
現在、公的個人認証システムは、国や地方公共団体の行政機関などと民間の認証事業者にしか開放されていない。直接民間に開放すると、民業を圧迫するからだと言われている。しかし、現実には圧迫する民間の個人認証サービスの実態はほとんどない。ネット上の「なりすまし」を防ぐ究極の手段である公的個人認証システムがあるのだから、これを使わない手はないのではないか。
- 1
