フィッシング対策(ワンタイムタイムパスワード)


三井住友銀行は、1月12日に同行のネットバンキングにワンタイムパスワード(OTP)方式を採用すると発表しました。各紙そろって報道しましたが、SMBCのホームページに概要が掲載されています。サービス開始は2月からです。

http://www.smbc.co.jp/kojin/otp/index.html

フィッシング対策としては、IDセフト(ID番号や暗証番号の搾取)防止となりすまし取引の防止があります。しかし、IDセフトは顧客に依存するため、第二暗証やOTPにより本人確認を厳格化する方向にあります。銀行としては使いやすさと安全性とコストのバランスを取るのに苦労しているのが実態です。1月18日付けの日経新聞には、みずほ銀行が暗証番号を現在の6桁から顧客選択で最大32桁まで拡大するとの記事がありました。思わず「自分の記憶力では無理だ。」「結局はメモってPCに貼り付けておくが、正確に入力できるだろうか、グズグズしている間にタイムアウトにならないか?」などと考えてしまいました。

ネットバンキングでの本人確認には、オンライン認証やMACアドレス確認、生体認証などもありますが、コストや導入容易性などからOTPが有力な手段として考えられています。ハイセキュリティが必要なエクストラネットや企業間ECなどでは、暗号化・セキュリティ専門のRSA社などのOTPが採用されています。これはクライアント側に専用ソフトを導入してサーバー側と相互認証するものです。クライアントにソフト導入や有効期間管理などの負担がかかるだけでなく、コストが年間で3〜5千円かかるために個人向けネットバンキングでは余り使われていません。SMBCが採用したOTPトークン・ディバイスですと導入作業や有効期間管理が不要となります。

OTPトークンには、認証用ランダム値の発生方式に動的と静的があり、後者の代表が現在使われているスクラッチ方式(ビンゴ方式)で、事前に配布した記号表から指定マスの記号を入力するものです。この方式は、昨年のフィッシング騒動において破られたため確実性に不安がもたれています。(破られたのは余りに単純な方式だったからですが。)そこで動的OTPトークン(使い捨て)の採用気運が盛り上がっています。

動的OTPにはイベント同期と時刻同期があり、SMBCは一分間隔の時間同期を採用しました。イベント同期方式では、複数の開発製造会社が国際標準にしたがって独自製品を作っていますが、使用頻度等のイベントによってトークン寿命が異なるので、管理が極めて複雑になるデメリットがあるそうです。専門家によれば、時計内蔵型の時刻トークン方式が主流になるのではという話です。ただ、時刻型の場合は、盗難にあった場合やコストの高さ、電池寿命(およそ3年から5年とされている)などの課題もあり、全てにベストというわけでもないようです。多くの銀行がそれぞれにトークンOTPディバイスを顧客に配布すれば、顧客は利用銀行の数だけディバイスを腰にぶら提げることになります。それも煩わしいですし、盗難に遭うのも怖い話です。

OTPのメディアには、SMBCが採用したようなトークン・ディバイスの他にもICカードと専用リーダーや携帯電話を使う方法があります。筆者は普及度合いなどから、携帯電話に乗せてくれたらと思いますが、携帯に余りに依存しすぎると紛失・故障・盗難などの不安が大きくなります。

SMBCに関する新聞報道においては、MUFGも同じようなOTPを今春から採用するということです。しかし、SMBCとはかなり異なった方式になるとも聞きます。協会での標準化は完全に後手に廻っています。というよりは、現在のようなスピードの速い時代に、協会主導での標準化を期待すること自体が無理です。そこで問題となるのが、ディファクト・スタンダードを握るのはどの方式かということになります。恐らく三大メガ・バンクのどこかが、ディファクトを握ります。もっとも、二、三番手連合が頻繁になれば、誰も先導しなくなるでしょうが。

地銀以下の業態は常に将来ディファクトの予測をしなくてはなりません。確定するのを待つ時間的余裕はないでしょう。関連ベンダーはアテになりません。各社ともに自社が担ぐ製品を奨めるだけだからです。それも広範複雑なセキュリテイ・ホールのごく一部を対象とするだけです。コンサルや公的調査機関は、専門誌やセミナーで聞きかじった話だけです。大手金融機関のように、専門の要員がいて、様々な製品技術を実際に確かめてみるようなことはできません。ましてや利用シーンの具体性と多様性に関しては圧倒的に銀行に負けます。セキュリティを含めた標準化においても、メガ・グループによる業界再編が進む可能性を感じます。

マスコミなどは、徒らに標準化の方向性を操作するような言動報道を控えるべきです。技術的実務的評価能力がないだけでなく、知らぬ間に世論の誘導に手を貸すことになります。ベンダーは、もう少し包括的で実務的なソリュションを提案すべきです。手のひらや指先など、どちらでも良いというよりは、それぞれにプロコンがあるならば、双方の長所を生かした技術製品を提供して、顧客である銀行に無駄なコストや時間を負担させないことです。