今年は銀行のインターネットのフィッシング詐欺が多いらしい。
銀行によっては、対策ソフトを無料配布していたり、いろいろと対策がとられているようだ。
銀行によってどのようなセキュリティ対策がとられているか、そしてその対策の有効性と注意点についてちょっと見てみよう。
今回は楽天銀行のセキュリティ対策から。
楽天銀行のセキュリティ対策
合言葉認証
事前に設定した問いと答えのセットを予め登録。
それを補助的な認証に使うことで、本人であることを確認する方法。
最近流行のフィッシング詐欺の場合、銀行公式サイトのログインボタンを押したときに偽のログイン画面がでたり、個人情報を入力する画面が出て来る。
合言葉認証の機能自体は、対応としては役立たず。
ただし、楽天銀行公式ログイン画面の合言葉証人の場合、問い(質問)が表示されている。
入力するのは合言葉だけだ。
質問まで入力させたり、質問を選択させたりする画面が出て来る場合は、フィッシング詐欺のウィルスに感染していると考えていい。
ワンタイム認証
重要な取引を行なう場合はさらにランダムに生成する1回限りの使い捨てパスワード(ワンタイムキー)を利用して認証するもの。
ワンタイムキー・ワンタイムパスワードを利用した場合でもフィッシング詐欺の被害が報告されている。
銀行の公式ログインボタンを押したとたんウィルスが動き出して、偽のログイン画面が現れるため、結局、偽のログイン画面にワンタイムキー(ワンタイムパスワード)を入力してしまうという。
IP制限サービス
普段利用するIPアドレスやドメインネームを事前に登録することで、登録していないIPアドレスからのログインや取引を制限するサービス。
結構有効かも。
モバイルアクセス制限
携帯電話やスマートフォンからのログインや取引を制限する。
ログイン制限
パソコンからのログインについて、認証項目を追加して強化。
セキュリティカード認証
利用者ごとに異なる英数字が並んだ表(セキュリティカード)を利用して、取引画面に表示・指定した場所の英数字を入力することで認証するもの。
最近のフィッシング詐欺の場合はあまり意味がない。
セキュリティボード
IDやパスワードをその通り入力するのではなく、英数字を別の英数字に1対1対応させた表に従い、対応後の英数字を入力するもの。
この、セキュリティボードによる入力は、最近のフィッシング詐欺には有効かも知れない。
詐欺グループが対応表を用意したログイン画面まで作っていたら無意味だけど。
振込限度額設定
1日の振込限度上限額を設定できる機能。
個人情報が漏れても、残高全部が送金されないという点では有効。
ATM出金制限
ATMから預金を引き出す場合の地域、時間、限度額などを設定することができる。
個人情報が漏れても、残高全部が送金されないという点では有効。
取引通知メール
取引画面へのログインや取引・手続きがあった場合、メールで通知するサービス。
フィッシング詐欺の被害を早く感知するという意味では有効。
ベリサイン EV-SSL証明書(Extended Validation SSL)
EV SSL証明書とは、そのウェブサイトの運営者が実在しているかどうか、業界統一基準に従って厳格な認証プロセスを経て発行される証明書。
ブラウザの上のほうにあるアドレスバーに緑色の鍵マークが付く。
スマートフォンでは鍵マークのみ。
楽天銀行の場合、ポップアップ画面にもちゃんとベリサインが表示される。
きちんと確認する習慣をつけよう。
コメント