ネットバンク
2006年02月03日
ジャパンネット銀行、「全顧客にSecurID配布」の理由
ジャパンネット銀行は1月26日に、同行の利用者全員にRSAセキュリティのワンタイムパスワードトークン「SecurID」を配布することを発表した。オンライン取引時の認証を強化し、スパイウェアによる被害を防ぐことが目的だ。5月より順次導入を開始し、9月には一部の休眠口座を除いた約130万人全員に配布する計画という。
オンラインバンクやショッピングサイトで「希望者」にトークンを配布するというケースは増えてきている。しかし、利用者全員にRSAセキュリティのワンタイムパスワードを配布するのは、世界的に見ても例がない。
この措置に伴い、口座維持手数料は従来の月額105円から月額189円に改定される(ただし、預金残高が10万円以上など、一定の利用基準を満たす顧客は従来通り無料)。
とはいえ、トークン本体や認証サーバなどへの設備投資は相当の額に上る。にもかかわらずこうした手段に踏み切った理由は、「『スパイウェアは怖いから、インターネット決済自体をやめてしまおう』という方向ではなく、何とかセキュリティレベルを高め、安心して使える環境を作りたいと考えたため」と同社企画部長の杉田浩一氏は述べた。
きっかけはスパイウェア事件
ジャパンネット銀行がワンタイムパスワードの採用を決めたこの日、くしくも、スパイウェアを用いて情報を盗み取り、同社の口座から不正送金を行った男が、不正アクセス禁止法違反と電子計算機使用詐欺の疑いで逮捕された。
この事件も含め、2005年はスパイウェアによる金銭的被害が明るみに出た一年だった。キーロガーを仕込んでのID/パスワード詐取という従来からの手法に加え、ターゲットを絞ってスパイウェアを添付したメールを送りつけたり、CD-ROMを郵送してインストールさせるなど、さまざまな手口でID/パスワードの詐取が試みられ、実際に金銭的な被害につながってしまった。
ジャパンネット銀行ではこれまで、ユーザー認証の際、紙に印刷した乱数表を「IDコード」として利用してきた。ログイン時には、印刷された16個の数字の中からランダムに4つを選んで入力する仕組みだ。
しかしこの方法では、乱数のばらつき度合いは、攻撃者による推測を困難にするには十分とは言い難い。スパイウェアによる不正送金事件が発生したことも踏まえ、社内で対策を検討した結果「より根本的な対応として、ワンタイムパスワードトークンを選択した」(同社企画部企画グループ、広報担当の斉藤友香氏)という。
「たとえPCの中のものがすべて盗み取られたとしても、安全な仕組みを提供したい」(斉藤氏)
コールセンターに問い合わせてきた顧客に、ワンタイムパスワードの導入についてヒアリングを行ったところ「おおむね利用には前向きという結果が得られた」(同社マーケティング部Web企画グループ長、北周介氏)。
2004年から2005年ごろを境にマルウェア作者の性質は変わった、と言われる。かつてのような愉快犯ではなく、明らかに金銭目当ての犯罪が増加している。
ジャパンネット銀行も一連の事件によって、そうした変化を実感した。「いまや新たな局面に入っている。スパイウェア時代に見合ったセキュリティ対策を提供しつつ、24時間365日利用できる利便性を維持するには、こうした対策が不可欠だ」(杉田氏)。今後も「一定の知識さえあれば、独自にスパイウェアを作成できてしまう。今後も、日々新しいものが登場してくるだろう」とし、スパイウェアの先も見据えながら継続的にセキュリティ対策に取り組んでいきたいとした。
制度的な対策も
なおジャパンネット銀行では、SecurIDの導入以外にも、いくつか不正送金を防ぐための対策を講じているという。
たとえば、一定時間放置された取引画面のタイムアウト、IDコード入力画面を一定回数以上表示した場合のロックといった措置を取るほか、振り込みや出金などの処理を行うたびに本人に電子メールで通知する。さらに、出金限度額の設定や補償といった制度的な部分での対策も用意しているという。
顧客に対しては、セキュリティ上の注意と同社の対策を解説するWebページを用意しているほか、定期的にメールマガジンを配信し、その中で最新のセキュリティ情報に触れるようにしている。「体裁は当然、HTMLメールではなくテキストメール」(杉田氏)。電子署名こそ採用していないものの、文章のテイストや体裁に統一感を持たせ、仮に同行をかたったフィッシングメールが送られてきたとしても「毎週メールを読んでいる人には『何か変だな』と気づいてもらえるような形」(同氏)を心がけているという。
「金融は最大のデジタルコンテンツであり、Webを最も活用すべき業態だ」と杉田氏は述べ、「スパイウェアによる被害は怖いけれど、どうしたらいいか分からない」という顧客に、できるだけ安心して利用してもらえる環境を整えていきたいとした。
http://www.itmedia.co.jp/enterprise/
(ITmediaエンタープライズ) 2月3日
オンラインバンクやショッピングサイトで「希望者」にトークンを配布するというケースは増えてきている。しかし、利用者全員にRSAセキュリティのワンタイムパスワードを配布するのは、世界的に見ても例がない。
この措置に伴い、口座維持手数料は従来の月額105円から月額189円に改定される(ただし、預金残高が10万円以上など、一定の利用基準を満たす顧客は従来通り無料)。
とはいえ、トークン本体や認証サーバなどへの設備投資は相当の額に上る。にもかかわらずこうした手段に踏み切った理由は、「『スパイウェアは怖いから、インターネット決済自体をやめてしまおう』という方向ではなく、何とかセキュリティレベルを高め、安心して使える環境を作りたいと考えたため」と同社企画部長の杉田浩一氏は述べた。
きっかけはスパイウェア事件
ジャパンネット銀行がワンタイムパスワードの採用を決めたこの日、くしくも、スパイウェアを用いて情報を盗み取り、同社の口座から不正送金を行った男が、不正アクセス禁止法違反と電子計算機使用詐欺の疑いで逮捕された。
この事件も含め、2005年はスパイウェアによる金銭的被害が明るみに出た一年だった。キーロガーを仕込んでのID/パスワード詐取という従来からの手法に加え、ターゲットを絞ってスパイウェアを添付したメールを送りつけたり、CD-ROMを郵送してインストールさせるなど、さまざまな手口でID/パスワードの詐取が試みられ、実際に金銭的な被害につながってしまった。
ジャパンネット銀行ではこれまで、ユーザー認証の際、紙に印刷した乱数表を「IDコード」として利用してきた。ログイン時には、印刷された16個の数字の中からランダムに4つを選んで入力する仕組みだ。
しかしこの方法では、乱数のばらつき度合いは、攻撃者による推測を困難にするには十分とは言い難い。スパイウェアによる不正送金事件が発生したことも踏まえ、社内で対策を検討した結果「より根本的な対応として、ワンタイムパスワードトークンを選択した」(同社企画部企画グループ、広報担当の斉藤友香氏)という。
「たとえPCの中のものがすべて盗み取られたとしても、安全な仕組みを提供したい」(斉藤氏)
コールセンターに問い合わせてきた顧客に、ワンタイムパスワードの導入についてヒアリングを行ったところ「おおむね利用には前向きという結果が得られた」(同社マーケティング部Web企画グループ長、北周介氏)。
2004年から2005年ごろを境にマルウェア作者の性質は変わった、と言われる。かつてのような愉快犯ではなく、明らかに金銭目当ての犯罪が増加している。
ジャパンネット銀行も一連の事件によって、そうした変化を実感した。「いまや新たな局面に入っている。スパイウェア時代に見合ったセキュリティ対策を提供しつつ、24時間365日利用できる利便性を維持するには、こうした対策が不可欠だ」(杉田氏)。今後も「一定の知識さえあれば、独自にスパイウェアを作成できてしまう。今後も、日々新しいものが登場してくるだろう」とし、スパイウェアの先も見据えながら継続的にセキュリティ対策に取り組んでいきたいとした。
制度的な対策も
なおジャパンネット銀行では、SecurIDの導入以外にも、いくつか不正送金を防ぐための対策を講じているという。
たとえば、一定時間放置された取引画面のタイムアウト、IDコード入力画面を一定回数以上表示した場合のロックといった措置を取るほか、振り込みや出金などの処理を行うたびに本人に電子メールで通知する。さらに、出金限度額の設定や補償といった制度的な部分での対策も用意しているという。
顧客に対しては、セキュリティ上の注意と同社の対策を解説するWebページを用意しているほか、定期的にメールマガジンを配信し、その中で最新のセキュリティ情報に触れるようにしている。「体裁は当然、HTMLメールではなくテキストメール」(杉田氏)。電子署名こそ採用していないものの、文章のテイストや体裁に統一感を持たせ、仮に同行をかたったフィッシングメールが送られてきたとしても「毎週メールを読んでいる人には『何か変だな』と気づいてもらえるような形」(同氏)を心がけているという。
「金融は最大のデジタルコンテンツであり、Webを最も活用すべき業態だ」と杉田氏は述べ、「スパイウェアによる被害は怖いけれど、どうしたらいいか分からない」という顧客に、できるだけ安心して利用してもらえる環境を整えていきたいとした。
http://www.itmedia.co.jp/enterprise/
(ITmediaエンタープライズ) 2月3日
2006年02月01日
新生銀行、耐震偽造で対象物件の住宅ローン金利免除
耐震データ偽造問題で、新生銀行は1日、対象物件の住宅ローン契約者に対する3年間の金利支払い免除などの支援策を発表した。
これまで住宅ローンの元金返済を一定期間猶予するなどの支援策はあったが、金利免除は初めて。元金返済の繰り延べなどにも応じる。対象のローン契約者に連絡を取り、希望する支援策を適用する。
(毎日新聞) 2月1日
これまで住宅ローンの元金返済を一定期間猶予するなどの支援策はあったが、金利免除は初めて。元金返済の繰り延べなどにも応じる。対象のローン契約者に連絡を取り、希望する支援策を適用する。
(毎日新聞) 2月1日
2006年01月31日
ジャパンネット銀行、預金者保護法施行でカードの偽造盗難被害を全額補償
インターネット上の銀行である ジャパンネット銀行 は2006年1月31日、預金者保護法の施行に先立ち、2月1日からキャッシュカード規定を新設する、と発表した。
預金者保護法とは、偽造や盗難キャッシュカードなどで現金自動支払機から預金が引き出しされた場合、被害の補償を金融機関に義務付けるもの。2月10日から施行される。同社では、預金者保護法に基づき、被害にあった個人ユーザーに対し、原則として被害金額を全額補償する。ただし、全額保障はユーザーに重大な過失がないかぎりで、過失があった場合には75%の補償となる。
また、補償されるのは、ユーザーが同社に通知した日から遡って30日までの被害となる。同社ではユーザーに対し、被害に遭ったらすぐ連絡するよう呼びかけている。
japan.internet.com
預金者保護法とは、偽造や盗難キャッシュカードなどで現金自動支払機から預金が引き出しされた場合、被害の補償を金融機関に義務付けるもの。2月10日から施行される。同社では、預金者保護法に基づき、被害にあった個人ユーザーに対し、原則として被害金額を全額補償する。ただし、全額保障はユーザーに重大な過失がないかぎりで、過失があった場合には75%の補償となる。
また、補償されるのは、ユーザーが同社に通知した日から遡って30日までの被害となる。同社ではユーザーに対し、被害に遭ったらすぐ連絡するよう呼びかけている。
japan.internet.com
2006年01月17日
みずほ銀行、ネットで32ケタの暗証番号、芸能人名もOK
みずほ銀行はインターネットバンキングで、英数字6ケタの暗証番号を最大32ケタまで拡大するセキュリティー対策を22日から導入すると発表した。暗証番号には好きな芸能人の名前、友人の電話番号なども設定でき、「安全性が高まり、より覚えやすくなる」という。
現在は、
同行が割り当てた顧客番号
利用者自らが設定した6ケタの暗証番号
を入力してもらい、インターネットでのサービスを提供している。しかし、偽メールで暗証番号を盗み出す「フィッシング」などの被害が急増。利用者から、ネット取引への不安の声が強まっているため、番号のケタ数を増やして安全性を高めることにした。
6〜32ケタの間で自由に設定できる。同行は、他の人に類推されにくく覚えやすい暗証を工夫して作るよう呼びかける。
(毎日新聞) 1月17日
現在は、
同行が割り当てた顧客番号
利用者自らが設定した6ケタの暗証番号
を入力してもらい、インターネットでのサービスを提供している。しかし、偽メールで暗証番号を盗み出す「フィッシング」などの被害が急増。利用者から、ネット取引への不安の声が強まっているため、番号のケタ数を増やして安全性を高めることにした。
6〜32ケタの間で自由に設定できる。同行は、他の人に類推されにくく覚えやすい暗証を工夫して作るよう呼びかける。
(毎日新聞) 1月17日
2006年01月12日
イーバンク銀行、ほかの金融機関から振り込みがあると現金がプレゼント
イーバンク銀行は、ほかの金融機関から同行に開設した自分の口座に振り込みがあると、回数に応じて現金がプレゼントされる「ゴールドラッシュプログラム」を1月16日(月)から開始する。
プレゼントされる現金は、1か月間に振り込まれた回数が2回〜5回の場合は1件につき20円、6回以上は1回につき25円。別途、ビジネス口座を対象にした「受けトリはイーバンク銀行がお得キャンペーン」も実施される。
今回の現金プレゼントの開始は、同行が「全国銀行データ通信システム」に直接加盟したことによるもの。ネットオークションやネットショッピングの代金受け取り口座に積極的に利用してもらうのが目的だ、としている。
(RBB TODAY 2006/1/12)
プレゼントされる現金は、1か月間に振り込まれた回数が2回〜5回の場合は1件につき20円、6回以上は1回につき25円。別途、ビジネス口座を対象にした「受けトリはイーバンク銀行がお得キャンペーン」も実施される。
今回の現金プレゼントの開始は、同行が「全国銀行データ通信システム」に直接加盟したことによるもの。ネットオークションやネットショッピングの代金受け取り口座に積極的に利用してもらうのが目的だ、としている。
(RBB TODAY 2006/1/12)
使い捨てパスワード導入、ネットバンキングで防犯対策―三井住友銀
三井住友銀行は12日、インターネットバンキングサービスで、2月20日から「使い捨てパスワード」による日本の銀行では初めての安全対策を導入すると発表した。
利用者にパスワードを発行する小型の「パスワード生成機」(縦2センチ、横6・8センチ、15グラム)を配布し、ネットバンキング利用時に生成機に表示されたパスワードを打ち込んでもらう仕組み。
生成機は銀行のシステムと同じタイミングで1分ごとにパスワードを更新するため、盗み見られても2度と使えず、現金の不正引き出しなどを防げるという。サービス希望者は、利用料として月105円が必要となる。
(読売新聞 2006/1/12)
利用者にパスワードを発行する小型の「パスワード生成機」(縦2センチ、横6・8センチ、15グラム)を配布し、ネットバンキング利用時に生成機に表示されたパスワードを打ち込んでもらう仕組み。
生成機は銀行のシステムと同じタイミングで1分ごとにパスワードを更新するため、盗み見られても2度と使えず、現金の不正引き出しなどを防げるという。サービス希望者は、利用料として月105円が必要となる。
(読売新聞 2006/1/12)
2005年12月24日
豊和銀が104件の感染メール送信 対策ソフト効かず
豊和銀行(大分市)は二十三日、コンピューターウイルスに感染したメールを取引先の金融機関などに百四件送信していた、と発表した。メール専用回線だったため、業務に支障はなく、取引企業や個人客にも大きな影響はなかった。
同行によると、本部審査部の男性行員が22日午後、自分のパソコンに届いたメールの不審な添付ファイルを誤って開いた。すぐに削除したものの、アドレスを登録していた行内各部や取引先の金融機関、証券会社計約50社に同じメールが転送されたという。同行はウイルス対策ソフトを導入しているが、今回のウイルス「ネットスカイ」には効かなかった。
同行はウイルス感染メールの送信が判明後、送信先に個別に連絡して対策を要請。行内各部のパソコンの処理も二十三日早朝までに終えた。同行は「ウイルス対策をさらに強化して再発防止に努めたい」としている。
(西日本新聞)
同行によると、本部審査部の男性行員が22日午後、自分のパソコンに届いたメールの不審な添付ファイルを誤って開いた。すぐに削除したものの、アドレスを登録していた行内各部や取引先の金融機関、証券会社計約50社に同じメールが転送されたという。同行はウイルス対策ソフトを導入しているが、今回のウイルス「ネットスカイ」には効かなかった。
同行はウイルス感染メールの送信が判明後、送信先に個別に連絡して対策を要請。行内各部のパソコンの処理も二十三日早朝までに終えた。同行は「ウイルス対策をさらに強化して再発防止に努めたい」としている。
(西日本新聞)
2005年11月19日
スパイウエア、千葉銀、21日から対策
「スパイウエア」と呼ばれるソフトで利用者の預金が別口座に送金される被害が出た千葉銀行は新たな安全対策を21日から実施する。キーボード入力をしない方法に改め、情報がパソコンに残らないようにしたのが特徴。法人向けインターネットバンキングが対象で、「パスワード」入力をパソコン画面上に表示されたボタンで行う。
「スパイウエア」は、キーボード入力情報を盗んでインターネット経由で第三者に送信する仕組みのため、キーボードの操作履歴がパソコンに残らないようにした。
全国的にスパイウエア問題が7月ごろから発生したため、同行も対策を検討していたが、問題発覚を受け、前倒しで実施した。同行の顧客3法人には10月、封筒入りのCD―ROMが送り付けられ、うち1社がパソコンに入れたところ、会社の口座から約300万円が第三者に送金される事件が起こった。
(毎日新聞)
「スパイウエア」は、キーボード入力情報を盗んでインターネット経由で第三者に送信する仕組みのため、キーボードの操作履歴がパソコンに残らないようにした。
全国的にスパイウエア問題が7月ごろから発生したため、同行も対策を検討していたが、問題発覚を受け、前倒しで実施した。同行の顧客3法人には10月、封筒入りのCD―ROMが送り付けられ、うち1社がパソコンに入れたところ、会社の口座から約300万円が第三者に送金される事件が起こった。
(毎日新聞)
2005年11月10日
企業口座から現金移し詐取 スパイウエアでID入手
不正に入手した企業のインターネット決済用のID、パスワードを使い、約21万円を勝手に自分の口座に移したとして、警視庁ハイテク犯罪対策総合センターは10日までに、不正アクセス禁止法違反と電子計算機使用詐欺の疑いで、千葉県の男を逮捕した。
容疑者はパソコン内の情報を収集するソフト「スパイウエア」を使用。被害総額は計10社、総額1140万円に上るとみられ、警視庁はネット決済を利用する企業にCD−ROMが送りつけられ、第三者の口座に現金が振り込まれた事件との関連も調べる。
調べでは、容疑者は6月下旬、ジャパンネット銀行に口座を持つ川崎市の貴金属販売会社にスパイウエアをメールで送り付け、IDやパスワードを不正に入手。7月1日に同社の口座から約21万円を自分の口座に送金した疑い。
(共同通信)
容疑者はパソコン内の情報を収集するソフト「スパイウエア」を使用。被害総額は計10社、総額1140万円に上るとみられ、警視庁はネット決済を利用する企業にCD−ROMが送りつけられ、第三者の口座に現金が振り込まれた事件との関連も調べる。
調べでは、容疑者は6月下旬、ジャパンネット銀行に口座を持つ川崎市の貴金属販売会社にスパイウエアをメールで送り付け、IDやパスワードを不正に入手。7月1日に同社の口座から約21万円を自分の口座に送金した疑い。
(共同通信)
2005年09月15日
三井住友銀行、ATMから取引停止のオートロックサービス
三井住友銀行は15日、盗難・偽造キャッシュカードによる不正引き出しを防ぐため、現金自動受払機(ATM)からの出金、振り込みなどの取引をできないように設定できる「オートロックサービス」を始めたと発表した。
インターネットバンキングの契約者が対象。パソコン、携帯電話を通じて申し込むと、ATMからの引き出しができなくなる。ATMを利用する予定ができたら、インターネット経由でロックを解除する。その都度、設定する取引回数しか、その日は取引できない仕組み。実際の取引回数が設定回数に達しなくても、翌日になると自動的にロックがかかり、引き出せなくなる。
(毎日新聞)
通帳、印鑑の盗難被害に関するリンク集
キャッシュカードのトラブル、盗難被害や偽造事件
現金自動支払機に関連した犯罪、トラブル
インターネットバンキングの契約者が対象。パソコン、携帯電話を通じて申し込むと、ATMからの引き出しができなくなる。ATMを利用する予定ができたら、インターネット経由でロックを解除する。その都度、設定する取引回数しか、その日は取引できない仕組み。実際の取引回数が設定回数に達しなくても、翌日になると自動的にロックがかかり、引き出せなくなる。
(毎日新聞)
通帳、印鑑の盗難被害に関するリンク集
キャッシュカードのトラブル、盗難被害や偽造事件
現金自動支払機に関連した犯罪、トラブル
