Enterprise

企業

2015.08.07 投稿者: ブログチーム

不正送金の猛威止まず銀行任せだけでは財産は守れない!

不正送金の猛威止まず銀行任せだけでは財産は守れない!

 「インターネットバンキングの不正送金対策が地方銀行で広がっている。先行する個人向けに続き、被害が急増している法人向けで、横浜銀行や千葉銀行などが1回限りの使い捨てパスワードを使う防止策を相次ぎ導入した。同様の防止策を採用した地銀は半年で約40行増え、60行に達した。今後は導入した対策を円滑に使ってもらうための取り組みが必要になりそうだ。
 警察庁によると、2014年のインターネットバンキングの不正送金被害は個人と法人で1876件、金額は29億1千万円。被害額は13年の2倍に膨らんだ。増加が著しいのが企業や団体など法人向け口座の被害だ。13年に1億円弱だった被害額は昨年、10億円を超えた。このうち地銀などが約8割を占める。
 地銀の法人口座が狙い撃ちされたのは、取引先に多い中小企業の安全対策が、大企業に比べて進んでいないためだ。
 取引先のパソコンをウイルスを使って乗っ取り、IDやパスワードを盗み、利用者になりすまして不正送金する事例が多発した。これを受け、少なくとも地銀約40行が緊急対策として、手続き当日に新規の振込先に送金するサービスを停止する事態に陥った。
 抜本的な対策として各行が相次ぎ導入したのが、個人向けネットバンキングで普及している使い捨てパスワード方式だ。「ワンタイムパスワード」とも呼ばれる。今では地銀全105行の約3分の2が採用している。

 新たな防止策として採用が増えているのはスマートフォン(スマホ)を使った「2経路認証」。地銀約10行が採用した。
 パソコンで振り込みする際にスマホなど別の端末で送金を最終的に承認する。利用者はスマホで送金先を確認、本来の振込先ならば承認して手続きが完了する。最近、パソコンのブラウザー(閲覧ソフト)を丸ごと乗っ取り、偽の画面を使って利用者にIDやパスワードを入力させて情報を盗み取る手口が国内で見つかった。パソコンとスマホを同時に乗っ取られる確率は低いため、防止効果が期待されている。」
(2015年5月11日 日本経済新聞電子版「地銀、進む不正送金対策 ネット取引での法人被害急増に対応」)

 本記事でも書かれている通り、「2経路認証」の安全性はかなり高く、攻撃者がPCを遠隔操作する不正送金だけでなく、振り込め詐欺の防止にも有効だと言われています。PCからインターネットバンキングのサイトにアクセスして送金などを行う場合、ワンタイムパスワードを同じユーザーのスマートフォンなどに送信します。ユーザーはスマートフォンに送信されてきたワンタイムパスワードを、PCの送金画面に入力します。この方法だと、攻撃者がPCを遠隔操作しているだけでは、スマートフォンに送信されてきたワンタイムパスワードを知る方法がなく、送金ができないわけです。攻撃者は1人のユーザーが所持する2つのデバイスを同時にハッキングしない限り不正送金ができないため、「2経路認証」はかなりの効果が期待されています。ユーザーにとって「2経路認証」は面倒かもしれませんが、その分、攻撃者にとってもハードルが上がるわけです。

 「ワンタイムパスワード」や「2経路認証」といったシステムは、世界ではかなり以前から使用されており、日本だけ導入が遅れていました。グローバル銀行から大分遅れて、やっと日本でも普及してきた印象です。しかし、これはあくまでも個々の取引に対するセキュリティーの仕組みです。銀行のシステム内に管理されている顧客データのセキュリティー対策は、この話とは別の話です。昨年、米国の某大手金融機関がサイバー攻撃にあい、なんと8300万件の顧客データが盗まれてしまいました。このように、数十万件、数百万件、時には数千万件という顧客データが、まとまって流出してしまう事件が後を絶ちません。

 私達は皆様に警鐘を鳴らさなければなりません。繰り返しになりますが、「ワンタイムパスワード」や「2経路認証」は、あくまでも個々の取引に対するセキュリティーサービスです。ユーザーが登録している個人情報を、企業や銀行からまとめて盗まれてしまっては、その効果も台無しです。私たちはこの問題を根本的に解決すべく、少しでも早く“Secure Enterprise SDN(SES)”を普及させたいと切に願っています。

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top