米iDefence社は11月15日、キーロガーを用いた攻撃件数が急増しており、このペースが続けば2005年は前年比65%増の6191件になるとの見通しを発表した。

　キーロガーはスパイウェアの一種で、パソコンのキーボード入力を監視して記録するソフトウェアである。記録したデータをインターネットを通じて外部に送る機能を持つものもある。iDefence社は、キーロガーが組織的にばら撒かれるようになってきたと警告している。

　キーロガーが仕掛けられてしまうと、キー操作が逐一記録され、ネット取引で利用している口座番号やパスワード、クレジットカード情報などが盗まれる恐れがある。セキュリティを考えてパスワードを推測されないようにランダムな文字列にしていても、入力したパスワードがそのまま盗まれるのだから「なりすまし」は防げない。すでに日本でもネット取引に利用している口座情報が盗まれて被害が発生している。

　クレジットカード決済しているネットショッピング利用者、ネットバンキングの利用者、ネット株取引の利用者のみならず、クレジット会社やネット取引サービスを提供している銀行や証券会社にとっては極めて大きな脅威である。

　当然のことながら、日本の金融機関は、画面に表示したキーボード（ソフト・キーボード）をマウスでクリックすることによってログイン・パスワードを入力する方法などを採用するなど様々な対策を講じている。しかし、こうした対策も専門家からみれば十分とは言えない。最近のスパイウエアの中には、画面を記録して外部に送信するものもあるからだ。マウスのクリック時に画面を記録すれば、こうした対策は水の泡だ。

　では、キーロガー対策に決め手はないのだろうか。指紋や虹彩、掌や指の静脈パターンなどを用いた生体認証（バイオメトリックス）は、パソコンに読み込まれた時点で特徴データをコピーして「なりすまし」に利用される恐れがある。残るは、高セキュリティのICカードを用いたPKIである。幸いにして、日本には実用的なシステムが既にある。電子申請のために構築された公的個人認証システムである。住基ネットシステムの情報をベースにして本人確認を行うので、ほとんどの人が利用できる。

　公的個人認証サービスにおいて、本人であることを証明する秘密鍵はICカードに納められ、カードから取り出せないように設計されている。また、電子署名（暗号処理）はICカード内で処理されるため、キーロガーが仕込まれていても「なりすまし」に必要な情報を収集される心配はまったくない。改竄や送信否認も防止できる。もちろん、情報セキュリティの世界に100%の安全はないが、実用上十分に安全である。

　ただ一つ問題がある。一般の民間企業は直接利用することができないのである。利用が許されているのは、国、地方公共団体の機関等と特定の民間認証事業者だけであり、一般企業はこの民間認証事業者を経由して間接利用するしかない。おまけに、現状では公的個人認証サービスを利用している認証事業者は存在しない。電子証明書には住所などの個人情報が含まれるので無制限というわけにはいかないが、この公的個人認証システムをネット取引を行う消費者を守るため、一般民間企業に解放してはどうだろうか。