三井住友銀行が発信する電子メールのセキュリティ対策について(1/1)
平成18年4月13日
各 位
株式会社 三井住友銀行
三井住友銀行が発信する電子メールのセキュリティ対策について
〜 電子署名付き電子メールにより、メールの真偽性の確認が可能に 〜
株式会社 三井住友銀行(頭取:奥 正之)は、平成18年5月22日(月)より、弊行から「三井住友銀行」名義でお客さまのパソコン宛に送信する電子メール全て(銀行からのお知らせ、商品・サービスのご案内、各種サービス等で利用されるメール)に、電子署名を付与します。(※1)
1.電子署名付き電子メールを送信する目的
電子メールに電子署名(※2)を付与することにより、弊行が送信したメールについては、
@電子メールの送信者が間違いなく三井住友銀行であること
A電子メールが送信途中で改ざんされていないこと
を、お客さまがご自分のパソコンで容易に確認できるようになります。電子メールを悪用したフィッシング詐欺対策としても有効であり、銀行全体としての対応は大手行では初の取組となります。
2.電子署名付き電子メールについて
(1)確認イメージ
(2)電子署名の内容
@ 送信者アドレスの形式・・・ ***@***.smbc.co.jp (「*」部分は任意のアルファベット)
A 電子証明書発行対象・・・ SUMITOMO MITSUI BANKING CORPORATION
B 電子証明書発行元・・・ VeriSign Class3 Organizational CA
電子署名付き電子メールの仕組み・確認方法等については、弊行ホームページをご覧ください。
⇒ http://www.smbc.co.jp/security/smime/index.html
以 上
(※1)弊行の銀行員が個人名で発信する電子メール、及び弊行から携帯電話のアドレス宛に送信する電子メールは対象外となります。
(※2)ベリサイン社が発行している電子証明書をS/MIME形式(Secure Multipurpose Internet Mail Extensions/電子メールの暗号化技術の標準形式)で付与してお客さまに送信します。(ベリサイン社のホームページ https://www.verisign.co.jp )
(※3)一部、電子署名に未対応の電子メールソフトや設定によって表示しない場合があります。対応していないメールソフトで署名付きメールを受信した場合は、電子署名は添付ファイル(smime.p7s)となります。
(※4)三井住友銀行名義でない署名、または三井住友銀行名義だが信頼できない署名。(後者の場合、パソコンに警告が表示されます。)
【参考】インターネットバンキングのこれまでのセキュリティ対策への取組
○ 取引の種類に応じた3つの暗証での認証 (One'sダイレクト実施当初から)
One'sダイレクトでは、取引のレベルに応じて、お申し込み時にお客さまが指定する第一暗証、乱数表を利用した第二暗証、乱数表の特定の一枠を指定した第三暗証を確認する認証方法を採用しております。
○ 暗証レベルの選択 (H17/10〜)
One'sダイレクトでは、取引毎に必要な暗証レベルを設定していますが、「もっとセキュリティを高くしたい」というお客さまの要望にお応えし、取引毎に暗証レベルを引き上げる設定も可能にしました。
○ 暗証の管理に関する注意喚起機能実装 (H17/10〜)
暗証を一定期間変更していないお客さまに限り、ログイン時に暗証変更に関する案内を表示したり、暗証変更の際に類推され易い暗証番号を設定しようとした場合に限り注意を促す機能を実装しております。
○ セキュリティ対策コンテンツ「やさしいセキュリティ教室」 (H17/10〜)
お客さまご自身にも金融犯罪をご理解いただき、ご自身でも最低限の対策を行なえるよう、ATM、キャッシュカードのセキュリティに関する注意点に加え、フィッシング詐欺、スパイウェアの仕組み、対策のポイント等をわかりやすく解説しております。
○ 暗証入力時に新型ソフトウェアキーボードを実装 (H17/11〜)
One'sダイレクトでは暗証を入力する際、ソフトウェアキーボードを利用できます。キーボードの配置を都度変更する機能の他、クリックする際にキーボードの内容を非表示にするという新機能を持ち、画面情報を盗取するタイプのスパイウェアに対しても有効です。
○ ワンタイムパスワード (H18/2〜)
One'sダイレクトをご利用いただく際に、契約者番号、第一暗証の入力に加え、パスワード生成機の液晶部分に表示されるパスワードを入力して本人確認を行ないます。一度使ったパスワードは無効となりますので、万が一スパイウェアやフィッシング詐欺等でパスワードを盗まれてしまっても、不正にログインすることができなくなります。
