インターネットが我々の生活を快適にしてくれた例のひとつが、オンライン バンキング。
今の世代には、当時の苦労を知らない方が多いかもしれない。当時送金が必要になると貴重な昼休みに銀行に行き、長蛇の列にならんで順番を待った。
オンラインバンキングの導入で、送金の為に長蛇の列に並ぶ必要がなくなった!人為的なミスも、大幅に減った。
ところが便利なものが出ると、これを悪用して金儲けをたくらむ人が出る。そこで欧州ではオンライン バンキング 利用の際の安全規格 “PSD2″を導入した。
この記事の目次
オンライン バンキングの安全性
オンライン バンキングの黎明期は、セキュリテイーも簡素なものだった。銀行のホームページにて、口座開設の際に決めたパスワードを入れるだけ。そのパスワードも自分の簡単な名前で登録できた。
ハッカーがコンピューターウイルスを使ってユーザーが使っているパスワードを盗み出し、口座からお金を盗みまで、長くはかかならなかった。
そこで銀行はパスワードを盗まれても、(すぐには)お金を盗まれることのない方法、”tan”を発案した。
“Tan”って何?
“Tan”とは、トランスアクションナンバー /”Transaktionsnummer”の短縮形。送金の確認の際に、パソコンの画面で打ち込む番号で、通常は6桁。一回だけ使える。次回からは別の番号を使用しなけれなならないから、「安全性が高い。」と言われた。
しかしハッカーがコンピューターウイルスを使ってユーザーが使っているパソコンを乗っ取り、口座からお金を盗み出す方法を発案した。言うは容易いが、これは実に複雑な詐欺で、パソコンを乗っ取られた被害者は、全く何も気が付かないほどの、見事な詐欺だった。
“TAN”を使った詐欺
被害者が「あれ?」と思うのは、いつも通りに送金を行うと、これがエラーになること。「”Tan”が間違っています。」というエラーが出るので、今度は別の”Tan”で試す。またしても「”Tan”が間違っています。」というエラーが出るので、今度は別の”Tan”で試す。
何も知らない被害者は、ハッカーが用意している銀行の画面のコピーに”Tan”を打ち込んでいるのだ!注意深く上部のアドレスを見てみれば、銀行のウエブのアドレスではなく、詐欺師のページが置かれているウエブ アドレスになっている。
しかし見た目が瓜二つなので、これに気が付く人はいない。こうしてハッカーは十分な数の”tan”を盗み取ると、本当のウエブから被害者の口座にアクセス、数回に分けて限度額までスペインやルーマニアの口座に送金する。
被害者がこれに気づくのは、次回送金をする際。顔面真っ青になって銀行に相談に行くが、時、すでに遅し。送金されたスペインとルーマニアの口座は解約されており、お金を取り戻すことはできない。
“Tan”ジェネレーター
次に銀行が考えた対策は、”Tan”ジェネレーターという装置だ。
送金の度に短時間有効な”Tan”を作り出す端末で、これはウイルスでパソコンを乗っ取られても、「安全です。」というほどの自信作。私が口座を置いている銀行では、「それでも盗まれたら、銀行が盗まれた金を補填します。」と言っている。
ハッカーがこの”Tan”を盗んで被害者の口座にログイン、あらかじめ用意していた口座に送金をしようにも、時間がかかりすぎ。「”Tanが無効です。」というエラーが出る(筈)で、詐欺は(ほぼ)不可能との事。
その他にも携帯電話を登録しておき、送金の際にはSMSで”TAN”が遅れてくる方法など、銀行によりさまざまなやり方がある。欧州委員会はそれでもまだ十分に安全とは言えないと考えた。そして新しい銀行の安全措置として考えたされたのが、”PSD2″だ。
PSD2
”PSD2″とは”Payment Services Directive 2.”の略称。日本語で言えば、支払いサービス条例 2号。詳しくはドイツ連邦銀行のホームページでご確認いただけます。
参照 : bundesbank.de
名称だけだと何のことなのかわからないので、わかりやすく言えば、オンライン バンキングのログインで(不正を避けるため)本人のダブル認証が必要になった。これは欧州全域で導入されるので、英国でもドイツでも口座を持っている方に該当する。
オンラインバンキング ログイン時の二重確認
これまでのログイン方法では、ユーザー名とパスワードを入れれば、誰でも口座にアクセスできた。アクセスしているのが、ユーザー名とパスワードが盗んだハッカーでも。欧州委員会に言わせれば、これが問題だという。
ハッカーが口座にログインできると、送金時に安全な”Tan”ジェネレーター、あるいは SMS を使って”Tan”を送っても、やり方次第では盗んだ”Tan”を使っての送金が可能になる(そうです)。そこで今回、これまでのオンライン バンキングの最大の弱点である、ログインを強化することにした。
具体的にはログインの際に、これまで通りユーザー名とパスワードを入れる作業に加えて、もう一回、本人確認の作業が必要になる。これには三通りの方法がある。
- 登録した携帯電話を安全確認に使う(パソコンから)
- “Tan”ジェネレーターを使う(パソコンから)
- 6桁のコードで本人確認(携帯電話から)
これだけでは、さっぱりわからないと思うので、順番に説明していこう。
1. 登録した携帯電話を安全確認に使う(パソコンから)
まず銀行のホームページにアクセスして、銀行のアプリを携帯にダウンロードする。アプリを起動して自分の口座にアクセスすると、認証用の6桁の認証番号の入力が必要になるので、あからかじめ忘れにくい番号を考えておこう。
これが済むと携帯が口座保持者の携帯電話と登録される。しかしここで銀行の安全機能がチェックが入り、実際に使えるようになるまで数日かかる。
以後はこの携帯電話ではないと、口座にアクセスできない。ハッカーがアクセス情報をもっていても、この携帯電話でないとアクセスできないから、安全ということらしい。
携帯を登録後、パソコンから口座にログインしようとすると、「登録した携帯から、本人認証をしてください!」と、メッセージが出る。「おお、そうだった!」と大急ぎで携帯の電源を言れ、アプリを起動すると、「本人の認証をしてください!」とメッセージが出てる。
ここで6桁の認証番号を入れて初めて、パソコンンの画面上でログインができる。
ちなみにここからパソコンを使わずに、そのまま携帯で送金をすることもできる。あるいはパソコンを使う場合は、送金するには毎回、6桁の認証番号を携帯で打ち込むことが必要になる。
2. “Tan”ジェネレーターを使う(パソコンから)
“Tan”ジェネレーターを使う場合は、もっと簡単です。いつも通り口座にログインしようとすると、
という画面が出る。銀行により画面は異なります。あとは”Tan”ジェネレーターを使い表示された”Tan”を入れれば、口座にログインできる。そして送金の際は、また新しい”Tan”が必要になる。
3. 6桁のコードで本人確認(携帯電話から)
パソコンを使用せず、携帯だけで済ませたい人は、携帯だけで済ませることができます(銀行によりけりです)。それにはまず1.で述べた手順で、お持ちの携帯電話の登録をするだけ。あとはそのまま携帯でログイン、送金をすることができます。
でも画面が小さくて、と~っても使い辛い。携帯に慣れている人は、なんでもないかもしれませんが。
安全性
1~3の方法で安全性が高いのは、1番と2番です。複数の端末をログインで使用する1番の方法では、ハッカーがパソコンと携帯を同時にコントロールする必要があり、詐欺行為はとても難しい。だから、「ほぼ完ぺき。」と言われている。
同じことが2番にも言える。ハッカーが用意した偽の画面では、”Tan”ジェネレーターが機能しないので、”TAN”が盗まれる可能性は低い(と言われている)。
安全性が一番低いのは、携帯だけ使う方法。携帯にウイルスを侵入させれば、6桁の認証番号を盗み出すことができる。しかしそれは銀行も承知の上で、登録した携帯以外の携帯ではログインできないようにしている。
登録した携帯を変更するにも、まずは古い携帯でログイン、登録を抹消する必要がある。このため、ハッカーが6桁の認証番号を盗み出しても、同じ携帯電話でない限りアクセスできない。この意味では広く復旧しているIphoneよりは、マイナーなメーカーの携帯の方が安全だ。
PSD2 導入後の成果は?
“PSD2″は9月からどの銀行でも導入が義務化されたので、EU内に銀行口座をお持ちの場合は、すでにこのログイン時の二重確認と直面している筈だ。導入により詐欺の件数が減ったかどうか、それはまだわかってない。しかし飛躍的に上昇したのが銀行客からの苦情だ。
「ログインできない。」、「ややこしい。」、「わからない。」という苦情が銀行に殺到しており、銀行は対応に追われている。
参照 : morgenpost.de
エラーは2回まで!
実は私もログインで問題と直面した。いつも通りにログインしようとしたのだが、「TANが間違っています。」とエラーになる。一度ならず二度までも。三度間違うと口座を閉鎖されてしまうので、銀行に電話して、「お願いだから、エラーを消してください。」とお願い。
エラーが消えてから、再度、落ち着いて挑戦。今度はうまく行った!銀行側は認めていないが、システム上の問題でログインできない場合もあるそうだ。
そんなときは意地になって三度目の挑戦をせず、銀行にメールか電話で事情を説明、エラーを消してもらおう!
