「防ぎようがなかった……」、ネット銀不正引き出しの被害者語る
(2005/7/22)

「事件の原因はすべて銀行側の問題にあると思っていた」とT社長は言う。なりすましに遭う理由が分からなかったからだ。ウイルスに感染した覚えはない。PCには「Norton AntiVirus」を導入しており、メールサーバでもウイルス駆除サービスを受けている。事件が起こった翌日の時点で再度、複数のウイルス対策ソフトやアンチスパイウェアなどでスキャンを試みたが、どのセキュリティソフトもやはり反応を示さなかった。

セキュリティ対策ソフトは無力で、ソーシャルエンジニアリングを使った巧みな手口により、スパイウェアを仕込まれてしまっていたのだ。セキュリティで一番弱いのは人間である。セキュリティ意識が高い人間であっても、ソーシャルエンジニアリングの前に落ちることもある。(ソーシャルエンジニアリングの脅威について学ぶには、ケビン・ミトニックの欺術を読んでいただきたい)

さらにこの事件によって、乱数表というビンゴカードのような番号表の安全神話も消えた。ジャパンネット銀行では、出金時のセキュリティに乱数表を採用していたからだ。
各銀行ともソフトウェアキーボードなど、あらたな不正利用対策を打ってきているが、クライアント認証や生体認証などと組み合わせない限り決め手とはならないだろう。