どこどこJP

English

国内外のオンライン犯罪の現状
~ネットバンキングを取り巻く不正と対策~

みなさんはネットバンキングを利用したことがありますか?ネットバンキングは24時間利用可能で手数料が安いなどの利点から、利用者が年々増加しています。ところが、インターネットサービスの普及で便利になってゆく影では、ネットバンキングでの不正引き出しなどのオンライン犯罪が急増中なのです。初期のオンライン犯罪は、IDとパスワードの流出や盗難/偽造カードによるものでした。その後、フィッシング詐欺、ファーミング詐欺、トロイの木馬、中間者攻撃、カード番号生成ソフトなどの洗練された高度な不正手法が次々と登場しています。そこで、今回はネットバンキングを狙った犯罪と対策の現状について、海外と国内の事情を比較しつつお伝えします。

2007年11月 弊社webサイトにて掲載
1.海外のネットバンキングを取り巻く不正被害の現状と対策
1-1.アメリカ:複数のセキュリティを導入。IP Geolocation技術が普及
アメリカでも、オンライン犯罪は増加傾向にありEC業者やネットバンクは対策として複数のセキュリティツールを導入しています。特にネットバンキングでは、政府の連邦金融機関検査協議会が、従来のIDとパスワード以外の経路での認証(2要素認証)の導入を2006年末までに義務付けたことでセキュリティ対策が強化されました。2要素認証として急速に普及した技術の一つがIP Geolocation(ジオロケーション)です。米国トップのIP Geolocation(ジオロケーション)プロバイダであるQuovaのデータを取り入れているのは、アメリカのトップ銀行5のうち4行、トップ100のうち91行に上ります。また、アメリカのトップ銀行500中300行は、QuovaのIP Geolocation(ジオロケーション)を利用した認証ソリューションを導入しています。2006年のIP Geolocation(ジオロケーション)の普及率は、オンラインサービスの市場全体では35%、年間2500万ドル以上売り上げのあるオンラインサービス市場では約60%でした。
1-2.イギリス:Chip-and-PINデバイス導入で効果的に不正対策
イギリスのニュースサイトThe Register によると、ネットバンキングの不正被害は、2004年に1220万ポンド(約30億円)、2005年に2320万ポンド(約56億円)、2006年には3350万ポンド(約81億円)と増加傾向にありました。2005年から2006年の被害増加の主因は、フィッシング詐欺が2005年の1,713件から2006年の14,156件に急増したためであろうと考えられています。
ところが、2007年上半期は2006年の同時期よりも70%近く不正被害が激減しました。イギリスの銀行共同支払決済機構APACSの発表によると、2007年上半期の被害額は750万ポンド(約18億円)で2006年の同時期の2240万ポンド(約54億円)よりも大幅な減少でした。これは新しい不正検出と防止手法の導入や、そもそも2006年上半期に不正被害が異常に多かったことに起因するとの見方がされています。
イギリスでは、Chip-and-PINの導入が進んでいます。Chip-and-PINとは、クレジットカードにICチップを内蔵し、決済時にサインではなくPINを入力することによって本人以外の利用を防ぐ仕組みです。ICカードは従来の磁気テープよりも偽造が難しいこともあり、Chip-and-PIN導入後に国内での不正クレジットカード利用が減少傾向にあることから、オンライン不正対策として導入する動きが出ています。イギリスでは、2007年夏からイギリスの4大銀行のうち3行が、携帯型のChip-and-PINデバイスの導入によってオンラインでの本人確認を強化するということです。
1-3.フランス:不正対策が遅れており、何らかの対策導入が必要
一方、同じヨーロッパにあってもフランスでのオンライン不正対策は遅れています。フランスの中央銀行であるBank of Franceによると、ワンタイムパスワードなどによる認証強化は、コストが高い事やユーザービリティの低下がユーザーに嫌われる事が原因で進んでいません。しかし、イギリス同様にChip-and-PINデバイスの導入が進んでいる為、フィッシングなどの手法で盗んだ情報をイーコマース取引に使う、CNP(Card Not Present)犯罪の割合が増加しています。
現在、イーコマース市場が拡大していることもあり、損害は保険で賄っている業者が多いということですが、早急なセキュリティ強化が必要だといえそうです。
1-4.アジア:認証強化によって顧客信用もアップ
ZDNet Asiaによると、アジアでも2要素認証の導入が始まっています。シンガポール金融管理庁、香港金融管理局、マレーシア中央銀行であるBank Negar Malaysiaなどのアジアの政府機関は、認証強化のため2要素認証の導入を推奨しています。これを受けて導入された認証は、トークンやSMSによるワンタイムパスワードが多いということです。2要素認証の導入は、ネットバンキングへの信用を増すという思わぬ効果も生んだようで、認証強化前よりも一件当たりの取引価格が増加したそうです。
2.日本の不正被害と対策の現状
日本でもオンライン犯罪が、ネットバンキングの広まりとともに増加傾向にあります。 金融庁の2007年9月の発表によると、日本における最近のオンライン不正被害のうち、ネットバンキングにおける被害は2005年に49件で被害額が1億500万円、2006年度に102件で被害額が1億1千万円でした。2007年度は4~6月の被害が68件で被害額は8600万円、年間に単純換算すると被害件数は272件、被害額は3億円以上になる見込みで、昨年よりも急速な増加傾向にあることがわかります。このほかにも、表面化していない不正被害が数多くあると予想されます。
また、Anti-Phishing Working Groupの調査によると、2007年7月時点でフィッシングサイトのホストとなっていた国のうち、日本はトップを争う中国とアメリカに次ぐ第三位で、一年前の第七位よりもかなり順位を上げています。世界のフィッシングサイトの数自体も、2007年7月には30,999で、一年前の14,191の2倍以上に増加しています。 このように日本でのオンライン不正被害は拡大傾向ですが、対策は進んでいるのでしょうか?2006年7月に日本銀行が発行した日銀レビューでは、日銀の公的な見解ではないとしながらも認証強化を推奨しています
2007年3月の金融庁の発表によると、ネットバンキング実施金融機関1,543行の99.7%が複数認証を導入しているということです。このうちワンタイムパスワードを導入しているのは約15%の236行で、パスワード発生機方式が6行、乱数表やメールによるものが230行でした。また、携帯電話を利用したパスワード発生システムや、ソフトウェアキーボードなども導入されています。その他では、フィッシング詐欺対策としてSecureBrainやVeriSignの各種サービスなどが普及しています。オンラインでのクレジットカード利用不正対策としては、3Dセキュアの導入が始まっています。しかし、政府機関が認証強化を義務付けているアメリカなどと比較すると、オンライン取引におけるセキュリティ対策が遅れていることは否めません。
3.ネットバンキング不正対策におけるIP Geolocation(ジオロケーション)の役割
日本では、大手銀行を中心にワンタイムパスワードの導入が進んでいますが、これだけでは安全とはいえないようです。2007年4月に、2要素認証としてワンタイムパスワードトークンを導入していたオランダの銀行ABN Amroが、中間者攻撃による被害を受けたというニュースがありました。ウイルスメールを開いて感染したユーザーが偽の銀行サイトに誘導されて入力した情報が、直ちに真のサイトでの不正取引に使われていたのです。2006年7月には、シティバンク口座のワンタイムパスワードトークンも中間者攻撃によって被害をうけたことから、トークンは中間者攻撃を防ぐことはできない、との意見が聞かれます。
IP Geolocation(ジオロケーション)技術は、このような中間者攻撃も検知することが可能です。ユーザーの普段のインターネット接続環境や位置情報などを行動履歴として蓄積しておくことにより、通常から外れた行動があった場合にこれを検出できるのです。 インターネットの匿名性を利用した犯罪は後を絶たず、犯罪者はセキュリティ対策を巧みにすり抜けていきます。万能なセキュリティ対策は存在しないといいますが、位置情報や接続環境の識別によって匿名性を低下させることができるIP Geolocation(ジオロケーション)は、犯罪の防止に役立つといわれています。また、IP Geolocation(ジオロケーション)による認証は、ユーザーに負荷をかけず新たなハードウェア導入の必要性もないことから、セキュリティ強化策としては優れたものと言えそうです。
IP Geolocation(ジオロケーション)技術はアメリカを中心に普及しているものの、日本ではまだ始まったばかりです。ネットバンキングやオンライントレードを安心して利用できるインターネット社会の実現には、セキュリティ強化は重要な課題です。IP Geolocation(ジオロケーション)技術はこの分野で大きな役割を果たすと考えられます。

Page Top