ネットバンキングで SMS 認証だけでは不十分ですか？

はい。SIM スワップ詐欺により SMS を傍受される危険があります。認証アプリ (Google Authenticator 等) やハードウェアトークンへの切り替えを推奨します。

ネットバンキングのパスワードは何文字が適切ですか？

20 文字以上を推奨します。銀行が許容する最大文字数に近い長さで、英大文字・小文字・数字・記号の 4 種類を含めてください。パスつく.com で 100 ビット以上のエントロピーを目標に生成できます。

不正送金の被害に遭った場合、銀行は補償してくれますか？

全国銀行協会の申し合わせにより、利用者に過失がなければ原則として補償されます。ただしパスワードの使い回しやフィッシングサイトへの入力など重大な過失がある場合は減額・対象外となる可能性があります。

オンラインバンキングの安全な利用法

この記事は約 9 分で読めます

振込、残高照会、定期預金の管理など、銀行窓口に行かずとも自宅からあらゆる取引を行えるオンラインバンキングは、現代の生活に欠かせないサービスです。しかし、金融資産に直結するサービスであるがゆえに、サイバー犯罪者にとって最も魅力的な攻撃対象でもあります。警察庁の発表によると、 2024 年上半期のインターネットバンキングに関する不正送金被害額は約 24.4 億円に達し、 2023 年通年の約 87.3 億円 (前年比約 5.7 倍) に続いて高水準が続いています。金融庁は 2024 年も引き続き注意喚起を行っており、フィッシング詐欺の巧妙化が被害拡大の主因とされています。本記事では、ネットバンキングに潜むリスクを整理し、安全に利用するための包括的な対策を解説します。

結局何をすれば安全なのか - レベル別対策

オンラインバンキングの安全対策は、以下の 3 段階で考えると整理しやすくなります。

初心者 (最低限): パスつく.com で 20 文字以上のパスワードを生成し、銀行アプリの二段階認証を有効にする。ブックマークからのみアクセスする
中級者 (推奨): 認証アプリ (Google Authenticator 等) を第二要素に設定し、振込限度額を必要最小限にする。取引通知を有効化する
上級者 (理想): バンキング専用端末を用意し、 FIDO2 セキュリティキーを認証に使用する。振込先の事前登録機能を活用する

ネットバンキングを取り巻くリスク

不正送金被害の急増は、攻撃手法の巧妙化と利用者の油断が重なった結果です。金融庁の報告では、 2023 年上半期だけで不正送金の発生件数は 2,322 件に達し、過去最多を更新しました。 2024 年も同様の傾向が続いており、攻撃手法の巧妙化に歯止めがかかっていません。攻撃者が用いる主な手口を理解し、それぞれの対策を講じることが重要です。手口としては、フィッシング詐欺やマルウェアに加え、他サービスから漏洩した認証情報を使い回すクレデンシャルスタッフィングや、ログイン済みセッションを乗っ取るセッションハイジャックも深刻な脅威です。

フィッシング詐欺

銀行の公式サイトに酷似した偽サイトへ誘導し、ログイン ID やパスワード、ワンタイムパスワードを入力させる手口です。「セキュリティ強化のため再認証が必要です」「口座が凍結されます」といった緊急性を装うメールや SMS が送られてきます。フィッシングの手口は年々巧妙化しており、正規の銀行がメールでパスワードの入力を求めることはないため、リンクをクリックせず、必ずブックマークや公式アプリからアクセスしてください。近年は URL が正規ドメインに酷似した「ホモグラフ攻撃」も増えており、目視だけでは判別が困難なケースがある点にも注意が必要です。フィッシング対策協議会の統計では、 2024 年のフィッシング報告件数は約 171 万件に達し、前年の約 119 万件からさらに増加しています。その約 40% が金融機関を騙るものでした。

マルウェア感染

パソコンやスマートフォンにマルウェアが感染すると、キーボード入力の記録 (キーロガー)、画面の盗撮、通信内容の改ざんなどが行われます。正規のバンキングサイトにアクセスしているにもかかわらず、送金先口座が攻撃者の口座にすり替えられる「 MITB (Man-in-the-Browser) 攻撃」は特に検知が困難です。 MITB 攻撃はブラウザの拡張機能やプラグインの脆弱性を悪用するため、不要な拡張機能を削除し、ブラウザを常に最新に保つことが有効な対策となります。キーロガーの脅威と防御方法もあわせて確認しておくと、入力情報の保護に対する理解が深まります。

SIM スワップ詐欺

攻撃者が携帯電話会社に成りすまし、被害者の電話番号を別の SIM カードに移し替える手口です。 SMS で届くワンタイムパスワードを傍受し、不正送金に利用します。近年、日本国内でも被害が報告されており、 SMS 認証だけに頼らない多層的な対策が求められています。よくある誤解として「 SMS 認証があれば安全」と考えがちですが、 SIM スワップ詐欺の存在を踏まえると、 SMS 認証は二段階認証の中では最も脆弱な方式であることを認識しておく必要があります。

専用端末の利用を推奨する理由

可能であれば、オンラインバンキング専用の端末を用意することを推奨します。日常的にウェブ閲覧やアプリのインストールを行う端末は、マルウェア感染のリスクが高くなります。専用端末を設けることで、以下のメリットが得られます。

不要なアプリやブラウザ拡張機能がないため、マルウェア感染リスクが低い
銀行アプリと OS のアップデートだけを管理すればよく、セキュリティ維持が容易
フィッシングサイトへの誤アクセスリスクが減少する
家族や他者が操作する機会がなく、意図しない操作を防げる

専用端末の用意が難しい場合は、少なくともバンキング利用時に以下の点を徹底してください。 OS とブラウザを常に最新の状態に保つこと、信頼できないサイトやアプリを利用しないこと、公共 Wi-Fi ではバンキングを行わないことです。

バンキング専用端末の選び方について、金融取引向けタブレットの選び方 (Amazon)も参考になります。

オンラインバンキングのセキュリティ設定

銀行が提供するセキュリティ機能を最大限に活用しましょう。

ワンタイムパスワード (OTP) を有効にする (ハードウェアトークンまたは認証アプリ推奨)
振込限度額を必要最小限に設定し、万が一の被害額を抑える
ログイン通知・取引通知をメールやアプリで受け取る設定にする
利用しない時間帯のログインを制限する機能があれば有効にする
振込先の事前登録機能を活用し、未登録口座への送金を制限する

特にワンタイムパスワードは、 SMS ではなく認証アプリ (Google Authenticator 、 Microsoft Authenticator など) やハードウェアトークンを使用するほうが SIM スワップ詐欺への耐性が高くなります。認証アプリは端末内で時刻ベースのコードを生成するため、通信経路を傍受されるリスクがありません。

不正送金対策の知識を深めるには、フィッシング詐欺対策の実践ガイド (Amazon)が役立ちます。

パスつく.com で 20 文字以上の金融用パスワードを生成する

金融サービスのパスワードは、他のどのサービスよりも高い強度が求められます。パスつく.com を使えば、暗号学的に安全な乱数に基づく強力なパスワードを簡単に生成できます。金融サービス向けの推奨設定は以下のとおりです。

文字数: 20 文字以上 (銀行が許容する最大文字数に近い長さを推奨)
英大文字・英小文字・数字・記号の 4 種類すべてをオンにする
パスつく.com の強度メーターで 100 ビット以上のエントロピーを目標にする
銀行ごとに異なるパスワードを生成し、絶対に使い回さない

一部の銀行では使用できる記号の種類に制限がある場合があります。その場合は記号をオフにし、代わりに文字数を 24 文字以上に増やすことで十分なエントロピーを確保できます。パスつく.com の強度メーターが「強い」以上を示していれば、金融サービスにも安心して使用できる強度です。

パスつく.com で生成したパスワードはブラウザ内で処理が完結し、ネットワークを通じて外部に送信されることはありません。生成したパスワードはパスワードマネージャーに保存し、手動で入力する必要をなくすことで、ショルダーハッキング (背後からの覗き見) のリスクも軽減できます。

オンラインバンキングのセキュリティセルフチェック

現在のバンキング環境が十分に安全かどうか、以下のチェックリストで確認してください。

バンキング用パスワードは 16 文字以上のランダム文字列か
他のサービスとパスワードを使い回していないか
ワンタイムパスワード (認証アプリまたはハードウェアトークン) を有効にしているか
振込限度額を必要最小限に設定しているか
ログイン通知・取引通知を有効にしているか
バンキングに使用する端末の OS とブラウザは最新か
公共 Wi-Fi でバンキングを行っていないか

不正利用を早期に発見するために

どれだけ対策を講じても、リスクをゼロにすることはできません。万が一の不正利用を早期に発見し、被害を最小限に抑えるための習慣を身につけましょう。

取引明細を週に 1 回以上確認し、身に覚えのない取引がないかチェックする
銀行からの通知メール・プッシュ通知を必ず確認する
不審な取引を発見したら、直ちに銀行のコールセンターに連絡する
定期的にパスつく.com でパスワードを再生成し、認証情報を更新する

なお、全国銀行協会の申し合わせにより、個人のインターネットバンキングで不正送金被害に遭った場合、利用者に過失がなければ原則として銀行が補償する仕組みがあります。ただし、パスワードの使い回しやフィッシングサイトへの自発的な入力など、利用者側に重大な過失がある場合は補償が減額または対象外となる可能性があるため、日頃の対策が補償の前提条件でもあることを認識しておきましょう。

オンラインバンキングの安全は、強力なパスワード、多要素認証、端末の保護、そして日常的な監視の組み合わせによって実現されます。パスつく.com で生成した高強度のパスワードを基盤に、多層的なセキュリティ対策を構築してください。二段階認証の重要性やフィッシング詐欺の見分け方と対策もあわせて確認し、総合的な防御力を高めましょう。

今すぐできること

パスつく.com で 20 文字以上のパスワードを生成し、メインバンクのオンラインバンキングパスワードを変更する
ワンタイムパスワードの認証方式を SMS から認証アプリ (Google Authenticator 等) に切り替える
振込限度額を日常的に必要な金額の上限に引き下げ、不正送金時の被害額を抑える
ログイン通知・取引通知をメールとアプリの両方で受け取る設定にする
銀行の公式サイトをブックマークに登録し、メールや SMS のリンクからはアクセスしない習慣をつける

よくある質問

ネットバンキングで SMS 認証だけでは不十分ですか？: はい。SIM スワップ詐欺により SMS を傍受される危険があります。認証アプリ (Google Authenticator 等) やハードウェアトークンへの切り替えを推奨します。
ネットバンキングのパスワードは何文字が適切ですか？: 20 文字以上を推奨します。銀行が許容する最大文字数に近い長さで、英大文字・小文字・数字・記号の 4 種類を含めてください。パスつく.com で 100 ビット以上のエントロピーを目標に生成できます。
不正送金の被害に遭った場合、銀行は補償してくれますか？: 全国銀行協会の申し合わせにより、利用者に過失がなければ原則として補償されます。ただしパスワードの使い回しやフィッシングサイトへの入力など重大な過失がある場合は減額・対象外となる可能性があります。

この記事は役に立ちましたか？

パスワードを生成する →