「いつもと違う」ときには追加の認証、みずほ銀行がオンラインバンクの対策強化

[ITmedia]

　みずほ銀行は、オンラインバンキングサービス「みずほダイレクト」のセキュリティ対策を強化する。利用状況のプロファイルを基に、普段とは異なるアクセスを検出すると追加で認証を行う「リスクベース認証」やワンタイムパスワードなどを取り入れ、なりすましによる不正利用を防止する。

　同行が導入する対策は2種類。1つは、アクセス状況に応じて認証の強度を変えるリスクベース認証だ。この仕組みはRSAセキュリティが提供するもので、普段利用しているISPのIPアドレスやアクセス元の国、利用しているソフトウェアなどの情報をみずほ銀行側に登録しておき、取引のたびにその情報を検証する。

　検証の結果、インターネットカフェなど、普段とは異なる端末からアクセスがあった場合には「リスクが高いアクセス」と判断し、IDとパスワードのほかに、あらかじめ登録してあった合い言葉や絵柄など、追加の認証を実施する。これにより、フィッシング詐欺やスパイウェアなどによってIDやパスワードを他人に知られた場合でも、悪用される危険性を抑えることができる。

　もう1つの対策は、トークンを用いたワンタイムパスワードだ。同行ではこれまでも、希望する顧客に「第二暗証番号」を配布してきたが、新たにベルギーのVASCO Data Security製のトークンを導入し、認証強度の強化を図る。