最優先される経営課題として－ネットバンキングに係る犯罪行為に対する対策（CA Security Reminder）

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の楠木秀明氏が、本年増加傾向にあるオンラインバンキングにおける不正行為の対策方法を提案する。

--はじめに

IPAでは2012年は『企業は情報が狙われ、個人は金銭が狙われる』傾向がより強まると警戒を促していた。

その指摘通り、6－7月あたりから個人の金銭を狙ったネットバンキングにおける被害が急増・復活しているとの報道もある。

7月に公表された金融庁の主要行等向け、中小・地域金融機関向けの総合的な監督指針においても、ネットバンキングに係る犯罪行為に対する対策等については、最優先の経営課題の一つとして位置付けられるべきと読み取れる。

なぜ被害にあうのか？

これらの被害は「フィッシング」と呼ばれる手法が多く使われている。簡単に説明すると、偽サイトに誘導され、ID・Password・乱数表等のネットバンキングでログインや送金に必要な情報を入力させられ、結果的にそれらの情報を盗まれる。そして本人に「なりすまし」ネットバンキングに不正アクセスされ、預金を不正に送金されているのだ。

「なりすまし」に対する現状の対策は？

このような状況の中「なりすまし」に対して、実際にどのような対策が実施されているのだろうか？

ネットバンキングの現状を調査してみたところ、ID・Password以外の対策は、ワンタイムパスワード（以下、OTP）が主流となっている。OTPはパスワードが固定されていないため、「なりすまし」に対するリスクを軽減できる。

弊社の海外の傾向

弊社も、OTPを販売している企業である。しかし海外での販売実績をみてみると、必ずしもOTPばかりが対策の選択肢というわけではない。OTP以外の対策も選択されている事実がある。1つはリスクベース認証、もう1つはPKI認証と呼ばれる技術だ。

step1～リスクベース認証

これは「普段と違う振る舞いを検知」する技術だ。例えばいつもと違うデバイス等、予め登録されたルールに従い判定する。日本の場合、普段と違うと判定された際は、追加の質問により認証ステップを強化する事が一般的である。しかしフィッシングで追加の質問の答えが洩れてしまえば、結局は不正利用される可能性が残存する。

なお海外では、判定後いきなりシステムを利用不可とし、本人確認できる情報を郵送させる等のプロセスを経なければ再びシステムを利用できない企業もある。ただいきなりシステムを利用不可にしてしまう運用は、あまり日本には向いてないように思われる。

step2～PKI認証

これはパスワードや追加の質問に代表される「本人しか知らないもの」に加え「本人しか持っていないもの（証明書）」を認証要素に加える技術だ。仮にID・Passwordが盗まれた場合「本人しか持っていないもの（証明書）」を保持していない為、認証が成立しない。

この技術の強みは、日本で主流のOTPで防げない中間者攻撃からの不正利用も防止できることだ。言い換えるとOTPは中間者攻撃と呼ばれる攻撃をうけた場合、不正利用が防げないことが懸念される。

「本人しか持っていないもの（証明書）」を用い認証させる場合は、認証先のサイトの正当性を確認できる。つまり偽サイトか否かをシステム的に見分けることが可能になる。これにより中間者攻撃での不正利用を防ぐことが可能になることが利点となる。

まとめ

ネットバンキングに係る犯罪行為の対策として、日本の主流となっているOTPを、弊社としても販売しているので、完全否定するつもりはない。最近、目立って被害が多いフィッシングであればOTPは有効な対策である。

ただその他にも不正利用される手法、例えば中間者攻撃等からの対策も考慮するのであれば、OTP以外にも、リスクベース認証やPKI認証という選択肢もあることを、是非思い出してほしい。　

（楠木秀明）

筆者略歴：日本CA株式会社ソリューション事業部セキュリティソリューション部プリンシパルコンサルタント CISSP、CISA