ワンタイムパスワードなら全て安全、とはいかないようです。

読売新聞によりますと、インターネットバンキングで使われる「ワンタイムパスワード」を抜き取る新型ウィルスが、日本国内で確認されたということです。警視庁がこのウィルスの存在を確認しており、注意喚起しているようですよ。

ワンタイムパスワードとは、自分で設定する通常のパスワードと異なり、ログインするたびに変わるパスワード。サービスの運営者側から、何らかの形で毎回受け取ります。

使用したパスワードは1回ログインするとそれ以降使えなくなり、次にログインするときに、また新たにワンタイムパスワードを発行するという方式。多くの場合、6ケタの数字です。

現状、このワンタイムパスワードは最も安全であり、ハッキングされる可能性が低いシステムとされていたのですが...破られてしまったというのです。なんてこったい...。

しかし、ワンタイムパスワードを一体どうやってハッキングしたのでしょうか。とてもシステム上できるとは思えないのですが...と思ってネタ元の読売新聞の記事をよく読んでみたところ、以下のような一文が。

パスワードをメールで受信する際には

おいおーい！　ワンタイムパスワードをメールで送っちゃうシステムがあるんかーい！　そりゃ確かに危険ですって。

詳しく書かれていないので憶測になりますが、おそらくハッキングされた人は「パソコンのブラウザからインターネットバンキングにアクセスして、ワンタイムパスワードもそのパソコンのメーラーで受信」していたのだと思います。

これではせっかくのワンタイムパスワードも、「ないより気持ちマシ」程度の防御力に大幅ダウンです。事実、こうしてハッキングされてしまっていますからね。

通常、ワンタイムパスワードの発行は、「セキュリティトークン」と呼ばれる専用の機器を使うものが一般的です。

このセキュリティトークンに、ワンタイムパスワードが表示されるわけです。これなら仮にパソコンがハッキングされたとしても、セキュリティトークンが手元になければ、ワンタイムパスワードを突破することは不可能ですね。

しかし、すべてをパソコンだけで完結させてしまうと、パソコンがハッキングされるだけでワンタイムパスワードも突破されてしまう可能性があります。ワンタイムパスワードは、ログインする機器とは別の、独立した機器で受け取ってこそ真の力を発揮するのです。

少し調べてみたのですが、有名ドコロでは三菱東京UFJ銀行がワンタイムパスワードをメールで発行している様子。うむむ、これはちょっと危ないかもしれません。

ではワンタイムパスワードをメールで受け取る場合、どうすれば安全性を高められるのでしょうか。現実的な方法としては、以下のようになるかと思います。

これならば、携帯を独立したセキュリティトークンの代わりのように使うことができるかと思います。キャリアメールは基本的にパソコンから見ることができませんので、パソコンと携帯の両方をハッキングされない限りは安全なはず。携帯がガラケーであれば、なお安全です。

しかし、どうやってもセキュリティトークンを使用するほどの安全性を得るのは難しいというのが現実でしょう。インターネットバンキングは、ハッキングされると特に危険なサービス。できれば、メールでのワンタイムパスワード送信は、改めていただきたいところかと思いました。

ワンタイムパスワードも盗難、新ウイルスに注意[読売新聞]

（コンタケ）