第378号コラム:本 憲太郎 幹事
(株式会社NTTデータ 基盤システム事業本部 セキュリティビジネス推進室 シニアエキスパート)
題:「インターネットバンキングと不正送金」
1 発生状況について
インターネットバンキングにおける不正送金事件が無くなりません。平成27年2月12日に警察庁から公表された「平成26年中のインターネットバンキングに係る不正送金事犯の発生状況等について」によれば、平成26年度中に発生した不正送金の総額は約29億1000万円となっており、これは平成25年度の約2倍の額となっています。また、全国銀行協会が平成27年8月26日に公表した「インターネット・バンキングによる預金等の不正払戻し件数・金額について(平成27年7月発生分:速報値)」によれば、平成27年4月から7月までの不正送金は個人、法人合わせて432件発生し、その総額は6億5000万円に上るとのことです。これらの値はあくまで集計されている値なので、金融機関から公表されていない不正送金や、不正送金されていても利用者が気づいていないケースも存在すると考えれば、実際の金額はさらに大きい可能性もあります。
2 対策状況とその問題点について
インターネットバンキングにはユーザIDとパスワードを用いた認証を行った上で利用可能となるサービスがあります。しかし、本コラムの他の記事でも執筆されている通り、ユーザIDやパスワードが盗用され不正送金の被害が発生しています。そこで、各金融機関は不正送金への対策として様々な対策を講じてきています。また、金融庁もインターネットバンキングにおける不正送金の手口が高度化・巧妙化していることを踏まえ、様々な対策を金融機関に対して推し進めようとしています。金融庁が平成27年4月付で改定した「金融検査マニュアル(預金等受入金融機関に係る検査マニュアル)」ではインターネットバンキングの認証方式や不正防止策として、以下の対策事例を挙げています。
a.可変式パスワードや電子証明書などの、固定式のID・パスワードのみに頼らない認証方式
b.電子証明書をICカード等、取引に利用しているパソコンとは別の媒体・機器へ格納する方式の採用
c.取引に利用しているパソコンのブラウザとは別の携帯電話等の機器を用いるなど、複数経路による取引認証
d.ハードウェアトークン等でトランザクション署名を行うトランザクション認証
e.取引時においてウィルス等の検知・駆除が行えるセキュリティ対策ソフトの利用者への提供
f.利用者のパソコンのウィルス感染状況を金融機関側で検知し、警告を発するソフトの導入
g.不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備 等
これらは、a~eのように、セキュリティ対策の導入を望むインターネットバンキング利用者のみを保護する対策と、fやgのように利用者側のセキュリティ対策導入の意思に関わらず各金融機関の意思により全利用者を保護する対策とに分けることができます。
a~eのような対策は強固なセキュリティ対策と言えます。また、cで挙げられている「トランザクション認証」は金融検査マニュアルの中で高度化・巧妙化した攻撃の例として挙げられている「マン・イン・ザ・ブラウザ(MITB)攻撃」に対抗できる対策です。しかし、金融機関がいくら強固なセキュリティ対策を導入しようとしても、利用者にその対策を導入してもらえなければ対策の効果は出ません。他方で、セキュリティ対策は利便性とのトレードオフになることが多くあります。例えば、ユーザIDとパスワードだけで利用できるサービスのほうが、さらなる追加認証を行うよりは手間が少ないという点では便利といえます。さらには、導入に費用が掛かる場合もあるため、このようなセキュリティ対策の導入をためらう利用者も多く存在すると思われます。
利用者によるセキュリティ対策の導入を促進するため、利用者があるレベル以上のセキュリティ対策を導入していなければ、サービスを利用させないようにするという金融機関も出はじめています。例えば、某金融機関では今年度夏ごろからインターネットバンキングの利用申し込みを行った利用者に対しては、ワンタイムパスワードの利用を必須としています。
一方、fやgのような対策は利用者に対して手間や金銭的な負担を掛けずに導入することが可能です。そのため、利用者の負担感は比較すれば少なくて済みます。しかし、これらの対策の効果は限定的であることが多く、このようなセキュリティ対策に対して、過剰な期待をすることはできません。
3 思うところ
サイバー攻撃の手法は日々進歩していくため、採用したセキュリティ対策が何年間も効果的であり続ける、ということはもはや期待できません。そのため、セキュリティ対策は常に見直しが必要であり、日々改善し導入を推し進める必要があると考えます。
その上で、私個人の意見としては、振込、クレジットによる取引、個人情報のやり取りなどを含む重要なサービスの提供を受けるのであれば、個々人自らが相応のセキュリティ対策を実施する必要があると考えます。そのため、セキュリティ対策の導入状況により享受できるサービスの範囲を決めるべきなのではないかと考えています。しかし、そうすることで利便性が低下し、利用者が離れてしまうのでは、と考える金融機関もあるのではないかと思います。
かなり高度なセキュリティ対策を実施していても、その対策が悪意ある犯罪者等に破られる可能性はあるという状況の中で、(1)自らのセキュリティ対策を積極的に採らない利用者まで含めてセキュアなサービス利用ができることを目指すのか、(2)積極的にセキュリティ対策を実施している利用者のみに重要なサービスを提供することを目指すのか、各金融機関がどのような判断をするのか注目したいと思います。
【著作権は、本氏に属します】