being qua being

情報的な何かと政治的な何か

三井住友銀行のSMBCダイレクトのログイン方法をパスワードカードに変更した

オンラインバンキングは営業時間外にも振り込みや口座確認ができるので非常に便利なのだが、最近は利用者が増えるに連れてセキュリティの問題も増えてきた。三菱東京UFJ銀行のホームページが利用者に「不用意に送られてきたメールのアドレスにパスワードを入力しないように!」警告している*1が、簡単にできる反面、簡単にだますことができることを悪用した犯罪が増えているようだ。

f:id:hapwish:20140512184353j:plain

こうした犯罪に対してワンタイム・パスワードという発行から一分ほど有効な一時的に使えるパスワードを発行することで*2を発行することでこの問題を克服する方法が世界中の銀行で使われている。三井住友銀行ではこれまで、通常の「暗証番号」、インターネットバンキングのパスワード、そして「第三暗証」という取引前に使うパスワードの3段階で不正利用を防いできたが、これも全てバレてしまえば意味を成さない。そこで申し込みを行えば、ワンタイム・パスワードを発行する「パスワードカード」という装置を利用者に無料配布している*3

そこで私も発行してもらった。

f:id:hapwish:20140512184502j:plain

これを使えば、ログイン時にワンタイム・パスワードを発行することでこの装置を持たない人物の不正利用を防ぐことができる。さらには万が一ログインされてしまった場合も「登録のない口座への振込」をする際はこの装置が発行するワンタイム・パスワードが必要になるため、不正利用者による送金がしにくくなる。

初回の登録は若干時間がかかる。まずカードが送られてきたらこれまでどおりの手順でログインを行う。その後パスワードカードの有効化の手続きを送付されてきた用紙にもとづいて行う。途中で電話を用いた自動音声による認証が必要である。この手続きを終えれば、テレフォンバンキングの利用の可否と、ログイン時に第1暗証のみを用いるか、それとも今回送付されてきたパスワードカードによるワンタイム・パスワード認証を加えるかを選択する。

近年の不正利用はかなり巧妙になっているためインターネットについての知識を持っている人であっても気をつけるべきだ。私もできるだけ暗証番号は頻繁に変更し、ワンタイム・パスワードを活用することによって不正利用されにくくするよう気をつけている。

これまでの暗証番号は時間制限が無かったため一度盗まれた番号は恒久的に使える。そのため不正利用者にとっても余裕を持って悪事を働くことができたが、ワンタイム・パスワードが導入されると難しくなる。しかしながら、短時間にワンタイム・パスワードを入手し、送金等を実行されてしまえば結局防げないので、インターネットバンキングを使う時はメールに記載されているURLではなく、本物のログインページをお気に入りに登録したものからログインするようにしたり、第1暗証を頻繁に変更することで防ぐ他ないだろう。

2014/05/13:追記
このような記事を書いた日にウイルス感染による遠隔操作でネットバンキングの不正利用事件があったようだ*4。こればっかりはワンタイム・パスワードだろうが、指紋認証だろうが防ぐことは難しい。

定期的にウイルスチェックを行ない、ネットバンキングを使う際は接続先が三井住友銀行のURLであるかどうかをしっかり確認して、パスワードを不用意に入力しないように気をつけなければと思う。

*1:【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください!(平成26年4月18日更新)| 三菱東京UFJ銀行 http://www.bk.mufg.jp/info/phishing/20131118.html?link_id=p_top_visual_caution1

*2:ワンタイムパスワード - Wikipedia http://ja.wikipedia.org/wiki/%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89

*3:パスワードカードについて : 三井住友銀行 http://www.smbc.co.jp/kojin/direct/passca/index.html

*4:三井住友銀、乗っ取り型ウイルスを確認:日本経済新聞 http://www.nikkei.com/article/DGXNASDG1203U_S4A510C1CC1000/