一般紙にも報道されて結構有名な事件なんですが、ネットカフェのPCにキーロガーを組み込んでおいて、ログを回収しネットバンキングを利用した人の口座から大金を自分の口座に振り込んだというもの。

まぁ、ネットカフェから取引やるなよとか店は毎日PCを初期化しろよとかいうのはおいといて、この窃盗(?)事件の対象となったのがCITI BANKだという話だ。少なくとも新聞一般紙には特定の銀行は明記されなかったように思う。でもあちこちのネット記事でCITI BANKだと公表され、一応ユーザーの問題や店側の問題提起も行いつつも、他の銀行と違うCITI BANKの仕組みを叩く記事となっている。

その内容は、他の国内の銀行は取引のときに事前に配布されている乱数表にそった暗証番号（取引毎に変わる）を入力しなければならないのに対し、CITI BANKのそれはIDとパスワードがあれば、取引が可能なためにキーロガーで簡単にこの犯罪が成立してしまったというものだ。

そりゃそうだと私も思って自分のCITI BANKの口座にある財産のほとんどの心配をしたのだが、なんか引っかかりを感じていた。自分がそんなにセキュリティの甘い銀行に約全財産を預けたりしたかなぁと。しかも、その程度の無知的犯罪が米国で起こっていないわけがない。

そうです。これらの記事を書いた連中は、CITI BANKの仕組みをまったく理解してない。ある条件を満たせばCITI　BANKほど今回の事件が起こりにくい銀行は無いんです。なぜなら、送金および振込みをする口座は登録制であり、登録するには紙の書類に記入し押印またはサインして窓口に提出するか、郵送しなければならないんです。なので、勝手にお金を自分の口座に入れるためには書類を提出しなければならずCITI BANK側が、押印かサインのチェックを厳密に行っているのであれば、こんな事件は起こりえないんです。物理的に不可能なんですから。逆にこのチェックがザルだったら恐ろしすぎますが。

腹立つのは、乱数表を採用している銀行が「うちではそんなことはありえない」などとほざいていることだ。汎用のキーロガーならともかくちょっとプログラムが組めるのならば、ネットバンキングのURLにアクセスしたときはキーログだけでなく、表示されている乱数表のキーワードのログだってとることは可能だ。

そして、３度取引が行われれば３つ程度の乱数表の答えは特定できる。そうなるとあとは、IDとパスワードでログインして、取引を進め乱数コードの入力のところで、特定できた乱数のコードが出るまで取引をやりなおせばいい。おそらく乱数コードを入力する前に取引をやり直せば、不正でロックされることもないだろうし、その度に乱数コードも変わるはずである。

レッツチャレンジ！（違