乱数パスワード神話は崩れたのか

　先月発生した、スパイウェアを使ったネット銀行を舞台とした不正振込み事件。ITproのニュース（日経コンピュータ2005年7月25日号，16ページより）に「国内ネット銀を狙うスパイウエア 自宅パソコンで乱数パスワード使っても被害」という記事があり、続報がないかとしばらく探していたのだがみつからない。

　上記の記事で私が気になっているのは、この件だ。

なぜ衝撃的かというと、同行が「乱数パスワード」の仕組みを導入しているからだ。顧客に「IDカード」と呼ぶ、16個の数を記載したカードを送付しておき、利用のたびに、どの数をパスワードにするかを指定する。毎回パスワードが異なるため、一度や二度、キー入力情報や通信データを盗み見られても、不正振り込みにつながる危険性は低いとされていた。

　これが何らかの方法で破られたから、今回の不正振込みが起こったのだ。いくつかの銀行では、この乱数パスワードを採用している。私もジャパンネットと東京三菱の2行のIDカードを持っている。この乱数表がどのような基準で作成され配られているかはわからないが、もちろん個々人で異なるものが配布されている。たしかに、キーロガーだけで簡単に破られるとも思えない仕組みなのだ。

　IDカードそのものが、出回っているのだろうか？ ジャパンネットには、IDカードを紛失したり失効した際に再発行の手続きがある。手続き後4日でIDカードを発送する。この仕組みを使って、取得したパスワードで住所変更し新たなIDカードを手に入れたのだろうか。なんらか登録情報変更手続きをおこなうと、ジャパンネットの場合には登録メールアドレスに通知されるので、そのあたりも書き換えなければ本人が気づく可能性は高い。

　乱数パスワードの仕組み自体にセキュリティホールが存在しないのであれば、クラッキングにはかなり手の込んだ方法が必要そうだ。どなたか、この乱数パスワードのクラック方法について思い当たるところがあるようでしたら、ぜひともご教授いただきたい。