各銀行では、安全性を高めようと、ワンタイムパスワード生成器(ハードウェアトークン)の普及が進んでいます。
ワンタイムパスワード生成器には、一定時間おきに複数桁の数字のパスワードが表示され、表示中のパスワードを利用することで振込等を行うことができます。
ワンタイムパスワード生成器を盗難されたり紛失したりせず手元にあり誰にもパスワードを見られないなら絶対に安全そうです。
しかし、 過信は禁物? ワンタイムパスワードはどこまで安全なのか (1/2) - ITmedia エンタープライズ によると絶対に安全ということはないようです。
同記事によると MITB 攻撃と呼ばれるサイバー攻撃があり、以下のようにワンタイムパスワード生成器を利用していても不正送金の被害に遭う可能性があります。
MITBとは「Man-in-the-Browser」の略で、Webブラウザを利用する通信の“中”で中間者攻撃を成立させるというもの。例えばあなたが「口座番号1234567に、1万円振り込む」という処理をしたときに、マルウェアに感染したPCで動くWebブラウザ内で「口座番号6666666に、30万円振り込む」という処理に書き換えられたとします。もちろん、マルウェアは画面上で「口座番号1234567に、1万円振り込む」と、正しい表示を行います。ワンタイムパスワードを入力する画面も普段と一緒なので、異なる口座に不正に送金ができてしまうのです。ワンタイムパスワード生成器を利用していても、油断は禁物のようです。