http://www.smbc.co.jp/security/index3.html

SMBCのトップページ、金融犯罪被害に遭わないために、というコーナーに、上記の「スパイウェアの被害にご注意ください」という文書がひっそりと掲載されていた。内容的には噴飯モノである

なお、弊行のインターネットバンキング（個人・法人のお客様向け）では、他の口座へ振り込む場合、固定化していない第二暗証（ご留意点2）や電子証明書（ご留意点3）を必要とするなど、悪質な第三者が振込出金を容易に行うことができないような工夫もしております

という記述がある。電子証明書認証は注にもあるように、法人向けインターネットバンキングで、第二暗証方式は個人向けインターネットバンキングで選択できる認証方式だが、これでスパイウェア被害を緩和できるのだろうか

すでに報道の通り、SMBCと同様にログイン時ではなく取引時にチャレンジコード認証方式を取るジャパンネット銀行で数件のスパイウェア被害が報告されている。チャレンジコード長ではJNBの方が短く、入力件数も4件とSMBCの倍という事情はあるにせよ、チャレンジコード認証はスパイウェア被害対策になっていないという点は明らかであるように思える

もう一つの問題点は、被害に遭わないためにはという項目に「OSやブラウザには、適宜、最新の修正プログラムを適用してください」という項目がある。確かに、パッチの適用は必要不可欠であるが、OSやブラウザのセキュリティーホールを突くウィルス被害に対しては有効でも、スパイウェアはウィルスとは異なり正規のソフトウェアとしてインストールされるケースが多く、これは対策になるのか首を傾げざるを得ない。また、スパイウェア対応のアンチウィルスソフトといったところで、ウィルスではないスパイウェアの大半がすり抜けてしまう可能性がある。あまり対策になっていないのではないかと思う

そもそも、チャレンジコード認証を「暗証番号」と言いきるSMBCもどうかと思う。チャレンジコードは、カスタマーカードに文字で記載されているものであって、「暗証番号」ではない。第三暗証番号に関しては、カスタマーカード送付時に任意の升目の番号が暗証となると言えるが、変更不可能であるという点では「第二暗証番号」と同じだ

ここでいうべきは、気休めにしかならないがログイン時の暗証番号変更を頻繁に行うよう要請したり、不審なメールやサイトにアクセスしたり、変なソフトウェアをインストールしないように警告するくらいしか正直いって対策はないのではないかと思う。事前抑止が難しいスパイウェアによる預金被害対策に各行とも悩ましい問題であろうが、こういった注意喚起の内容の乏しさにもそれがあらわれているように思える

追記:面白かったので
http://www.janjan.jp/living/0503/0503254965/1.php