日経コンピューター9/1号の「動かないコンピューター」はネットバンキングの不正アクセスについてだった。ちなみに、この連載タイトル、不正アクセスにはイマイチふさわしくないｗ

簡単に言うと、問題が起きたのはログインパスワードと取引パスワード、両方とも固定パスワードだったから、という結論で、メガバンクは可変だから大丈夫とかそういうことが書かれていた。ふーん。可変ねえ。

僕の使っている「可変」パスワードとやらは、決められたテーブルからランダム？に選択された順序に指定された文字（たいてい数字）を入力する、というものだ。確かに一回一回は可変だが、指定場所と入力値の関係は不変だ。

記事ではキーロガーなどによりパスワードが盗まれたのだろうと結論付けていたが（実際には識者のコメントだがまあそういっていいだろう）、ちょっと気の利いたスパイソフトを作れば表示されたテーブル位置と入力内容を紐付けて収集することは可能だ。ネットバンクで資金移動をすればするほど個人の持つテーブルの内容は裸になっていく。これを避けるためには高頻度でテーブルの交換をするしかない。でも、そんな話は聞かない。

ほんのちょっとだけマシなくらいであり、「比較的」安全ですらないと思うんだけど、なぜかこういうのってちょっとでもマシだと比較的安全という評価をされてしまうよね。スパイウェア的なものに進入されてしまったら固定もテーブル式可変もほぼ同じくらい危険な水準であり、それが比較的マシだとしたらただ単にスパイウェアの作者がめんどくさがりだったくらいの理由でしかないと思う。むしろ、仕組みが安全って幻想で利用者のセキュリティー意識がかえって低くなる可能性だってあるよね。

ワンタイムパスワードを導入しているところもあるけれども、大抵はそうじゃない。
多額の決済を行う口座はインターネットバンキング使わないとかそういう対策のほうがよっぽどマシなような気がしなくもない。移動する資金がなければ安全である。なんか違うが。