私のネットバンキングのID/PassWordを第三者が不正入手!!
December 15, 2016 – 6:23 pmネットバンキングを長年にわたって利用している。とても便利なサービスだ。私にとっては、今や、なくてはならないサービスのひとつだ。
昨日、銀行からのE-Mailで、セキュリティ上の問題で、ネットバンキングの利用を停止する旨の連絡が届いた。
突然の利用停止に驚くとともに、なにかしっくりこない思いを持った。それはそれとして、とにかく銀行の指示にしたがってIDの再発行などの手続きをとったばかりのところだ。
何が起きたのか、そして私が疑問に思ったことなどについて、メモをしておいた。誰にも起こると予想されること、多少は役に立つ情報かもしれない。
送られてきたE-Mailの文面を、以下転載する:
当行では、インターネットバンキングでのお客さまの被害防止のため、不正送金に関する情報収集等に努めておりますが、今般、その過程において、お客さまがインターネットバンキングで利用する契約番号・IBログインパスワード等が第三者に不正に入手されていることが判明いたしました。
これを受け、安全措置として、
お客さまの<銀行>とのすべての取引(照会取引を含む)を停止させていただきました。
お手数ですが、<ネットバンキング>の再開に関しては、以下のお続きをお願いいたします。
これにつづいて、利用者の対応方法が示されている。指示された対応方法を私なりに要約すると以下になる:
- 利用者のパソコンがウィルス感染している可能性があるので、ウィルス駆除をすること、そしてネットバンキング専用の無料ウィルス対策ソフトを利用すること。
パソコンに導入しているウィルス対策ソフトを最新のものに保つこと。 - 最寄りの支店でネットバンキングの再登録を行い、再登録後、ログインパスワードの変更・設定をしてください。
- 銀行での手続き終了後、1~2週間で、ネットバンキングの契約番号、カードが送付される。
- ネットバンキングで用いるID/Password、乱数表など関連データをパソコン、スマホ、クラウド上に保存しないこと。
私はネットバンキングをどのように活用しているか:
今回の「事件」を考えるうえで、私がネットバンキングをどのように活用しているかについて書いておこう。今回の「事故」発生の原因がどこにあるのかを明確にするためには、私の活用形態抜きでは議論できないはずだ。
ネットバンキングを利用する端末として、スマートフォンとパソコンのふたつを利用している。
このうち、スマートフォンでは、銀行提供のアプリを活用し、残高の照会をだけだ。残高照会は頻繁に行っている。
もうひとつはパソコンだ。このパソコン、OSはWindows10でブラウザはIE11を使用している。ここでは、他行への振込み振替え、その他取引き上限の設定などを行う。通常のネットバンキングを行なっている。
最近、1ヶ月間、11月以降は、(私の記憶では)パソコンからネットバンキングにログインしていない。最後にログインしたのは、10月末頃、振込み操作を行ったことがあるだけだ。その前は、10月初旬にも一度、振込み操作をしたことはあるが、これ以外は、ここ2,3ヶ月には操作したことはない。それに、このパソコンは、8月の末に、新しく購入したSSD上にOS(Windows10)をクリーンインストールしているものだ(「Windows10をSSD上にインストール」に作業内容を記載)。
それに、契約者情報、あるいはパスワードはパソコン上には一切記録していない。どう考えても、私のログインIDとかパスワードが、パソコンから第三者に入手されたとするのは思えない。全くもって不可思議な話だ。
そうすると、残高照会専用に使っているスマホアプリからID/Passwordが不正入手されたのか?確かに、スマホアプリにはID情報が記載されている。そうだとすると、これは大変だ。スマホアプリは銀行提供のものだ。いくらパソコンにセキュリティソフトを組み込んでも、スマホ経由で問題が発生していることになると、手の打ちようがない。
今回の不正入手事件、原因は私の側、それとも銀行のシステム側?:
当然のことながら、銀行のネットバンキングのサービス担当セクションに問い合わせてみた。今後の利用が適正に行われるためには原因を把握することが必要だからだ。
実は、我が家では、ネットバンキングがらみの騒ぎは、これが2度目だ。前回は、妻が同じ銀行のネットバンキングの利用に際して、ウィルス混入の事実を銀行側が検知し、利用が停止された。利用停止を受けて、セキュリティソフトを使ってパソコンをうスキャンしたところ「トロイの木馬」系のウィルスが検知された。明らかに、銀行側の問題ではなく、我が家のパソコンがセキュリティ上の問題を抱えていたということだ。(「我が家のPCがウィルスに感染」にいきさつの一端を記載している)
さて、今回の「事件」はどうか?上述したように、パソコン上で、ネットバンキングのログイン操作を10月末以降は行っておらないことから考えにくいが、一応、私のパソコンについてもセキュリティソフトを用いたスキャンを行った。ウィルスはパソコン上からは検知されていない。
さて、今回の「事件」はどうか?銀行からのE-Mailでは、「(私が)インターネットバンキングで利用する契約番号・IBログインパスワード等が第三者に不正に入手されていることが判明」したといっている。「判明」したというのは、第三者に入手されている明らかな証拠があるという、ことだともいう。
第三者による不正入手の兆候が見られたというのか、あるいはどこかに私のID/Passwordを表すデータが見つかったのか、問い合わせみるが、銀行としてはセキュリティ上の問題があるため、そのあたりは開示できないという。あくまで、「判明」したというのだ。それ以上は情報を開示することはできないという。
そして、銀行のシステムからID/Passwordが第三者が不正に入手された事実はない、という。
銀行は、自らのシステムに、自信満々だ。
「お客様」ユーザのパソコン、スマホ」から不正入手されたものだ。ユーザの端末のセキュリティレベルを高めるだけが唯一の道と言っている。
これ以上、銀行に問い合わせてもしょうがない。
ID/Passwordの不正入手されることがありうることを前提にネットバンキングを利用するしかない。ネット社会の大変さを思いしらされたというのが実感だ。
つまんない結論に至った。
ま、ともかく、誰か第三者により、ネットバンキング用のID/Passwordが不正入手されたというのが事実だったとして、口座から不正に預金が引き出されるような事故が発生しなかったことに感謝すべきなのだろう。