三井住友銀行のオンラインバンキングで被害が出ていますが、その内の一件は 中間者攻撃の一種であるMITB (Man In The Browser) であったため、 ワンタイムパスワードを使っていても不正送金等の被害があった可能性が 高いようです。

この手のマルウェアは普段はじっと潜伏していて、送金処理等特定の操作を するときだけ動き出します。ブラウザにワンタイムパスワードを 打ち込んだ際に「しばらくお待ちください」等の画面を出し、その間に 不正送金等を完了させます。ワンタイムパスワードはその時間だけ有効な パスワードで抜き取られても後から利用する事は出来ませんが、その場で リアルタイムに処理されるので不正送金等が可能となります。

また、MITM (Man In The Middle) と違ってSSLにおける通信相手の証明書を 検出してエラーを出すと言った事が出来ず、検出の難しい攻撃です。 他のデバイスを使ったチェックを行うなどの対策が海外の一部では 利用されています。