インターネットバンキングがソフトウェアキーを推奨している理由
たまには情報セキュリティの記事を書いてみようと思い、非常に初歩的な話ですが最近よく見るようになったインターネットバンキングのソフトウェアキーが狙っているセキュリティ機能について書いてみようと思います。
最近の若い人はキーボードのブラインドタッチよりスマホのフリック入力の方が入力速度が速いのかもしれませんし、インターネットバンキングもスマホから入るのが普通なのかもしれませんが、あのフリック入力も一種のソフトウェアキー入力です。私のようにキーボードのブラインドタッチに慣れている世代でなくとも、パソコンから入る時のソフトウエアキー入力は結構まどろっこしいと思っている人がいると思います。何のためにあのようなことをやらせるのかというと、昔からある「キーロガー」というハッキング対策のためです。
キーロガーとは
キーロガーを使うハッカーは、あらかじめハッキング対象のパソコンに「キーボードでどのキーを打ったのか」を記録するプログラムを仕込んでおきます。そして一定期間記録を取っておき、その記録を抜き出して分析します。 すると、意味のない文字列が繰り返し出てくるのが発見されます。それがパスワードである可能性が高いです。パスワードがわかれば自分のパソコンからでもインターネットバンキングに侵入できます。
プログラムを仕込むのは他のウイルスソフト同様、ユーザーをだましてブラウザからダウンロード➡インストールさせたり、 もしくはパソコンに自由にアクセスできるのであれば直接パソコンにフラッシュメモリ等でプログラムをインストールします。後は定期的に自分のパソコンに記録を送信するようにしておきます。もしくは記録をフラッシュメモリ等で抜き出します。
このキーロガーというハッキング手法はパソコンの初期の頃からある古典的なハッキング手法で、ブルートフォースアタック(パスワードを総当たりで強引にこじ開ける手法)と並ぶハッキング手法です。キーロガーの方がプログラムを仕込む分難易度が高いですが、ピンポイントでパスワードを盗めるため、パスワードの回数制限が設けられているタイプでも突破できます。
キーロガーを防げるソフトウェアキーだけど…
キーロガーを防げるソフトウェアキーですが、残念ながらログの取り方は「どのキーを打ったか」だけではありません。各々のパソコンの画面共有がネットを経由して簡単にできるようになっている現代では、どのキーを打ったのかなんてわからなくとも、スクリーンショットや動画を送ってしまえばソフトウェアキーによるセキュリティは無力化されてしまいます。画像1枚送受信するにも随分と時間がかかってた電話回線時代ならまだしも、Youtuberが何億円も稼ぐ時代にキーロガー対策か…と思わないこともないですが、家の戸締りも簡単に解錠されてしまうとはいえ、開けっ放しよりはましということもあるので一応私もソフトウェアキーで入力しています。