【銀行】インターネットバンキングの危険性について

最近、スパイウェアを使って銀行口座の全預金を引き出してしまう被害が増えていると新聞などで目にします。
私もネットバンキングが便利でよく使うのですが（大手都銀２行）振込や振替には、必ず第２暗証番号が要求され、毎回違う乱数の入力が要求されます。スパイウェアを使って、第１暗証番号を盗み個人口座の画面へ進入する被害なら百歩譲ってありえると思うのですが（本当はあってほしくないですが）、毎回違う数字を入力する第２暗証を間違いなく入力するのは不可能だと思うのです。
スパイウェアを使った預金引落被害は具体的にどのように行われるのでしょうか？

No.1 回答者： jugger 回答日時： 2006/02/13 19:26

通常スパイウェアで暗証番号を盗む場合は、押されたキーボードの文字を送信しています。

画面には表示されませんが、押されたキーは分かりますから、それを送信しています。
これを防ぐためにソフトウェアキーボードという物があります。
画面にキーボードを表示させて、そのキーをマウスでクリックして入力します。
これだとキーボードを押さないので、暗証番号やパスワードが分かりません。
最近これを見破るために、画面そのものを送信するスパイウェアがあると聞いています。
お問い合わせの乱数表ですが、たとえば　Ａ＝３　Ｂ＝６　Ｃ＝１　だとかが決まっている物ですよね。
画面に　Ｂ　を入力する場合、６と入れると、その画面が送信されて　Ｂ　は　６　だと分かってしまいます。
もうまさにイタチゴッコですね。
実際にこう入った物が出回っているかは、良く分かりません。

でもこれに対応するために、ジャパンネット銀行は９月から使い捨てパスワードにすると発表しました。
パスワード発生装置を全預金者に、５月から配布するそうです。
この仕組みが分からないので、質問したところ回答をいただきました。
それによるとジャパンネットのサーバーとパスワード発生装置が、時間で同期しているんだそうです。
同じ時間には同じパスワードが発生するようですね。
このパスワード発生装置は、ネットとはまったく接続しないので、盗まれる心配はありません。

ネットはたいへん便利ですが、落とし穴もたくさんあるようですね。

No.2 回答者： hoihence 回答日時： 2006/02/15 18:09

>スパイウェアを使った預金引落被害は具体的にどのように行われるのでしょうか？

キーストロークフックやスクリーンキャプチャとかじゃない。あるいはPC内を漁るとか。辞書を利用したりね。

No.1の回答の後半に出てくるのはOTP計算機というやつです。

まあ、今は対策進んできてるようだね。エッセンスはリプレイ攻撃を効かなくすることですよ。