2003年3月、新聞に「ネットバンキングから1600万円盗み逮捕・ネットカフェのパソコンで個人情報取る」というような事件記事が掲載されていた。
この犯人、ネットカフェのパソコンにキーロガーをインストールし、ここから情報を盗み出したらしい。ネットカフェのパソコンからはネットバンキングを利用する人もいて、この情報から他人の銀行口座を操作して1600万円を盗み出した、というのだ。
技術系の雑談サイト「スラッシュドット ジャパン」にあるトピック「ネットカフェにキー記録ソフト仕込んで個人情報盗難、悪用して逮捕」にいくつか詳しい情報があったので抜粋しておくと
ちなみに、スラド(スラッシュドット ジャパンを省略してこう言う)からたどると、このニュースに関しては、被害者本人による被害の報告やニュース記事なども見ることができる。
それによると
スラドでも「そもそもネットカフェのように誰が触るかわからないパソコンでオンラインバンキングを使うなんてセキュリティ意識に欠けている」というような意見は多い。ネットカフェ自体が、個人情報は消す、セキュリティ上の対策を取るというようにパソコンをちゃんと管理しているとは限らないし、不特定多数がくる以上何がしかけられているかわからない、そんなところで……というわけだ。私もそれには全くその通りだと思う。
ただ……それだけでなく銀行にに関しても、一利用者として、また、一応セキュリティ関係で啓蒙記事などかかせていただいているものとしてはどうにも納得しかねる思う点があるのでここに少し書いておきたい。
朝日新聞の記事によると(はっきり書かれていたのでここでも書いてしまうが)被害にあったのは口座はシティバンクのオンラインバンキングで、実は私はシティバンクの利用者でもある(盗まれたところで困るような額は入れていないのだが)。個人的に不安に思いシティフォンバンキングのオペレータに確認したのだが、そこで確認した事実やさらに不安に思えた事柄などもあったのでそれも書いておこう。
今回の事件以降でシティバンクが取った対応なのだが、まず、さすがに1000万円以上もオンラインで簡単に詐取できてしまったのは問題と認識したと見えて、昨年10月から、オンラインバンキングでの振り込み限度額は最大でも400万程度(登録済振込 シティバンク本支店宛 50万円 X 8回)になった。オンラインからの都度振込みも利用不可に変更になった。 また、オンラインバンキングのログオン画面には
シティバンク オンラインをご利用される際は、お客様の入力情報の安全性を確保するため、ご所有以外のパソコン(インターネットカフェにあるパソコンなど)からのご利用および第三者に容易に想像される暗証番号のご使用を避けられますよう、強くおすすめ致します。という注意が表示されるようになった。
これから見るとどうも今回シティバンクとしては原因は
(原因)
金額の点に関しては、多少不便と感じられなくもないが、まぁ、万一犯罪にあったときにも致命傷を防ぐ(1000万も盗まれたら大抵の人には致命傷でしょう!)最後の歯止めになると思えば意味のある対策といえるかもしれない。
しかし、「共有パソコンを使うな」のほうはどうなんだろう。有効な対策と言えるのだだろうか。
技術的な用語が出てきて面倒だが、ここで、ちょっとパソコンを使ったオンラインバンキングのセキュリティがどのように実現されているか、ここで思い出してみたい。
オンラインバンキングを利用するときの操作を考えてほしい。 利用者はパソコンのブラウザからオンラインバンキングの画面を呼び出し、口座番号暗証番号を入力し、ログインする。
このとき、パソコンとインターネット上にあるサーバーは通信を行っている。 仕組み的には、このようなときにはネットバンキングではほぼ間違いなく「HTTPS」という通信の方法を利用している。このHTTPSは、通常インターネット上でWeb閲覧の際に使われる「HTTP」にSSL(セキュリティソケットレイヤー)というセキュリティ上の仕組みを加えてより安全にデータをやりとりする仕組みである。 ここでネット上を流れるデータは暗号化がされるので、万一、盗聴などで第3者にデータが盗用されても解読することができないのでまず悪用することはできないと言っていい。
インターネットからデータを受け取ったパソコンは、さらにユーザーからの様々な情報をもらい、サーバーとデータをやりとりしてネットバンキングの操作を進めていく。
パソコンの内部では、ユーザーが操作したキーの情報やマウスがどこに動いたかといった情報を、パソコン内部の
デバイスドライバ → OS → ブラウザ → 通信ライブラリ → セキュリティAPI
と情報が流れていく(OSがWindows系、ブラウザがInternetExplorerの場合)
最後のセキュリティAPIの先に実際にデータを暗号化するためのプログラムがあり、ここで暗号化されたデータがインターネット上を流れてサーバーまで届けられるわけだ。
(ああ、ややこしいな。雑誌記事でも書いてるんだったらささっと原図を起こしてイラストをつけてもらってしまうところなんだけど(^^;))
つまりPCの内部では素の入力データが流れていて、内部にあるセキュリティに関連するソフトまでこのデータが流れて初めてデータは暗号化される、ということだ。
ちなみに、ここで素で流れている口座番号やパスワードなどだが、シティダイレクトや新生銀行PowerFlexの場合は利用者は口座番号、暗証番号、それにオンラインバンキング専用パスワードを入力する方式となっているため、。漏れれば即座に第3者でも口座の盗用が可能になるいわゆる「素」の情報が流れてしまっている。 ちなみに多くの国内銀行、ネット銀行たとえば三井住友銀行のOne's Directなどでは、シティバンクなどとは違い「乱数表によるチャレンジ・レスポンス方式」と呼ばれるパスワード方式を利用している。このほうしきでは、暗証番号のほかに乱数表を使って毎回違う専用パスワードの利用が必須となっているため、1度や2度この情報を覗かれたところで口座に対する悪用はできないようになっている。 安全性という意味ではシティなどは低く、国内銀行の一部は少し高いと方法を取っている、と言ってもいいだろう。
さて、今回の事件なのだが、キーローガーと呼ばれるソフトが使われている。これは叩かれたキーの内容をパソコンの中にデータの中に保存しておくというソフトだ。つまり犯人はパソコン内部で暗号化される以前のデータを盗み出すことで口座番号やパスワードを手に入れたわけである。
ちなみに、使われたキーロガーはオンラインソフトとして配布されているものであるいうことで、そのようなものが流通しているものを問題視する向きもなかにはあるようが、こんなものは、OSの入出力に関してちょっとした知識(システムフックくらいは知っていたほうがいいかな)とCかなにかでのちょっとしたプログラミングの心得があれば簡単に自作だってできるはずで、個人的にはどうしてこれを問題視するのかよくわからない。むしろ今回は一般に配布されているソフトが使われていた、という点では、中級者が自作してロガーの存在がわかりにくくなっていたり、入力データを自動で他のマシンに転送されたりして犯人の足取りをわからなくされてしまうよりはむしろラッキーだったかもしれない、とさえ思うのだが。
(新聞報道によれば、この犯人は、キーロガーのデータを回収するために毎週のようにネットカフェに通っていたらしい。本当だとすると犯人もちょっと間が抜けている。後から捜査官がビデオで確認すれば犯人像がまるわかりじゃないか)
さて、本題に戻る。ここで考えてほしいのだが、シティバンクのいうように個人のパソコンなら安全だっただろうか。つまり、キーロガーは果たして共通パソコンでなければ仕掛けられることはないのだろうか。
答えは「否」なはずだ。確かに、ネットカフェは今回の犯罪でキーロガーをしかけてデータを回収する場所として重要な役割を果たした、そして他の場所たとえばオフィスや個人の部屋なら事件にあう確立はぐっと減ったわけだが、これでなくてはならない、ということはなかったはずなのだ。
たとえば、キーロガーと記録データをあるサーバーに転送するようなトロイの木馬プログラムを作る。このプログラムを作ったある人物はたまたまネット上の誰かがシティバンクを利用していることを知っている。たまたまチャット上でこの人のPCのIPアドレスがわかった。OSのバージョンを調べてみる。セキュリティホールのある古いバージョンのOSであることがわかった。セキュリティホールを利用してこのトロイの木馬を相手のパソコンに送ってみる。相手は一瞬、チャットから落ちてまた「落ちちゃったよ」といいながら入ってくる。次の瞬間から、指定したサーバーに、その人の入力したキーの内容が「otityattayo 」というように入ってくるというわけだ。いずれシティダイレクトの7桁の口座番号他も入ってくるだろう。
もちろん、ネットカフェのように手軽にできるわけではないからぐっと犯罪に会う確率はぐっと減るだろうが、必ずしも共用パソコンでなくてもできてしまうことがわかるだろう。
ここまでテクニカルでなくても、個人のパソコンにキーロガーをしかけるだけならば、職場に置いてあるパソコンにこっそり、ちょっと誰かが目を離したすきに、という古典的な方法もあるだろうし、メールの添付ファイルとして送りつけるなどということも可能だ。それなりにテクニックをもった犯罪者がコンピューターウイルスを作り出して無差別に送りつけ、世界中からキーログデータを引き出す……なんてことだってできる。
対策としては「ネットカフェなどの共用パソコンを使うな」というのは根本的には意味がないと思えるのだ。(第一、シティバンクは、店頭に共用のパソコン置いてシティダイレクトの操作をお客に自由にやらせているじゃないか(^^;))
むしろ、「できるだけ頻繁にパスワードも暗証も変えろ」というような対策のほうがまだ意味がある。犯人が口座番号、暗証を手に入れてから犯罪に及ぶまで時間があき、その間に偶然にも暗証を変えていたら犯罪に会わないで済むかもしれないからだ(全然、確かじゃない対策ではあるのだが…)
シティに重大な庇護があるとは言わないが、この指導といい、他の銀行で採用されている乱数チャレンジレスポンス方式を使っていないなど、シティバンクのセキュリティに関する考え方にはちょっと甘いところがあるのではないかと思わざるを得ない。
ついでに言っておくと、シティバンクの場合、このようにちょっと甘いと思わざるを得ない点がある上に、被害者の方の情報を読むかぎり、この対応はどうだろうと思わされる点があることも付け加えておく。それは被害が出た場合の措置についてだ。
今回、被害者の方は1600万円あまりを昨年9月に口座から引き落とされてしまった。その中には事務所(会社か何かを運営されている方なのだろう)の家賃なども含まれておりこれらを払うことができなくなってしまった。
これに対してシティバンクはどうしたかというと、期日ギリギリでローンで必要なお金を貸した、ということなのである。しかも、犯人も捕まる前、10月終わりには銀行は貸した金を返せと、被害者に督促電報を送ったそうである。
実を言うと、今回の事件について、私はシティバンクのシティフォンダイレクトに電話して聞いて見たのだが、そこで出てきた責任者の方によれば、対処としてローンでお金を貸した、銀行から盗まれたとおぼしき口座にお金を戻すことはない、というのは事実のようである。
利用者がネットカフェの共用パソコンを使ったというミスをしたこと、あくまでもシティのミスではないから、セキュリティに関してはこれからも十分気をつけるからお客様は安心して使ってほしい、ということであった。
まぁ、ネットバンキングの申込書にあるように「システム上の重要な不備がない限りシティバンクは万一の場合の保証はしない」そうだし、シティバンクから見れば正規の口座番号、暗証番号、パスワードを使って引き落とされた操作なので、その操作が不正であるということもお客の申し立て以外には証拠がない。確かに、盗まれた金を口座に戻す必要はなく、むしろ枠を広げて金を貸したこと自体が善意での対処、ということになるのだろうが……
ついでに、「それでは、もし私のお金がシティダイレクト経由で不正に引き落とされた場合、盗まれたお金はシティバンクからは戻していただけないんでしょうか?」と聞いて見た。それがネットカフェでなく、他のケースだったとしてだ。
まず、どうもシティバンク内での対応が「ネットカフェで客が使ったのが原因、それが悪い」とセキュリティ対策も、被害者への対応もそれに終始してしまっている感じで答えを引き出すのが難しかったのだが、責任者氏の回答はケースバイケースでなんともいえないが、一般的には難しいと思います。システム側のトラブルなら別ですが……という答えだった。
ATMでもカードそのものと暗証番号、窓口でも通帳と印鑑があれば同じだが……。
一般的に、ネットバンキングの場合、口座番号やID、パスワードが不正入手されてしまうとそこから先は不正にお金を引き出されるのを防ぐ手段はない。また、不正に引き出された場合銀行からの口座にお金が戻ってこないとなったら。
シティバンクの場合、たとえばマルチマネー口座に定期としてお金を入れるとお金を引き落とせない(期日まで解約もできない)ので、どうしても絶対使わない使われたくないお金はそちらにいれておくなど、悪用された場合のフェイルセーフとして使えなくない機能もある。
しかし、人には偶然大金をすぐ使うための用意しておくということもあるだろう。たとえばマンションの頭金を払うために、とか。そのためのお金は戻ってこない、逆に生活のためのお金もなくなり、お金をローンで借りて、その金を返せと銀行から電報で督促が来たとしたら……。
銀行から見たら、正規に口座番号と暗証とパスワードを使っての操作にしか(被害者からの届出がなければ)見えない。それにはいそうですか、と補填するわけにいかないというのもわからないではないのだが。
ちなみに私はこの事件を知ってしばらく暗証、パスワードを変えていないことを思い出し変えようと思ったのだが、今は休日で時間外ということこともあって電話取引用暗証など一部しか変えることができなかった。そういえばこの銀行は使っている全てのパスワードが24時間変更できるようにはなっていないのだった。
せめて事件報道があった直後くらい24時間体制でパスワードを変えられるようになっていても……と思うのだが、まぁ、一朝一夕に変えられないのがセキュリティでもある。
ちなみにセキュリティ意識というのも、また一朝一夕に変えられるものではない。