NEW
施策を打ってもイタチごっこ

ワンタイムパスワード破り、キーボードの動きを盗む…進化するパスワード破りの手口

【この記事のキーワード】

, ,

  • このエントリーをはてなブックマークに追加

高いリテラシーが必要(「Thinskstock」より)

 比較的安全とされてきたワンタイムパスワードにも、パスワード破りの危険が迫ってきた。ひとつのセキュリティで安心せず、常に二重三重の備えが必要なようだ。

 ネット上のサービスを利用する際、パスワードの漏洩は絶対に防ぎたいところ。とりわけ、お金を直接扱うオンラインバンキングにおいては、パスワードの管理がきわめて重要となる。

 しかし、IT犯罪者もそこは頭を働かせる。コンピュータウイルスを使って個人情報を盗む手口の中には、情報を直接盗むのではなく、ユーザーのリアルタイムの「動作」を盗むものも存在するのだ! それが「キーロガー」と呼ばれる種類のコンピュータウイルスである。

 キーロガーに感染したコンピュータでキーボードを使用すると、どの文字を入力したかの履歴が記録され、それが知らない間に漏洩してしまうようになっている。たとえばオンラインバンキングでパスワードを入力していると、キーロガーによって盗み見されてしまう。

 そのためオンラインバンキングでは、キーロガー対策としてソフトウエアキーボードが導入されているところが多く見られる。ソフトウエアキーボードは、画面上のキーボードをマウスで操作するものなので、キーロガーが盗み見することは難しくなっている。

 ただ、コンピュータウイルスの中には、「スクリーンスクラッパ」と呼ばれるものもあって、こちらはパソコンの画面を連続的に記録していくようになっている。スクリーンスクラッパが使われると、ソフトウエアキーボードの動きも記録されてしまうことになる。

 そこで、オンラインバンキングの中には、「ワンタイムパスワード」サービスを導入しているところが少なくない。

 このサービスの利用者には、小型のパスワード生成機が渡される。1分ごとにパスワードが自動更新され、パスワード生成機の液晶画面に表示。パスワード生成機はネットに接続しておらず、オンラインバンキングのシステムと時刻で同期している。

 ユーザーは、表示されたパスワードを使って、オンラインバンキングにアクセスする。仮にキーロガーやスクリーンスクラッパがユーザーの「動作」からパスワードを盗んだとしても、その1分後にはパスワードが変わっている。IT犯罪者は盗んだパスワードを使うことができないというわけだ。

 さらに最近では、専用のパスワード生成機ではなく、スマホのアプリによってワンタイムパスワードを生成するサービスも広まっている。また、ワンタイムパスワードをメールで送信するサービスもある。

 ところが、このメール送信サービスがIT犯罪者に狙われた。今春、コンピュータウイルスによって、メールで送信されたワンタイムパスワードを盗み取る事例が国内で初めて確認されたのだ。

 やはり、「ワンタイムパスワードだから」と安心せず、しっかりとセキュリティソフトなどを導入して、コンピュータウイルスの感染を防ぐといった対策が必要と言える。
(文=宮島理)