ネットの不正対策は曲がり角、米国銀行の「見える化」事例

国内でもネットバンキングの不正送金被害は問題となる中、RSAセキュリティが同社の不正検知システムを導入している米国の金融機関での成果を説明した。

[國谷武史，ITmedia]

　警察庁によれば、2014年のネットバンキングの不正送金被害は前年比約2倍の約29億1000万円に上る。都市銀行などでは個人口座の被害が多い一方、地方銀行などでは法人被害が目立つ。EMCジャパンRSA事業本部は5月22日、ネットバンキングなどでのオンライン犯罪動向について説明し、米国の金融機関が導入しているという対策事例を紹介した。

ウィリアム・スタプルトン氏。RSAの他、VerizonやNEC米国法人などで金融システムに30年近く関わってきたという

　米RSA Security 不正・リスクインテリジェンス事業部門バイスプレジデントのウィリアム・スタプルトン氏によると、オンラインの不正行為では従来のセキュリティ対策をすり抜ける手口が多用されている。

　その手口は、実在企業になりすまして個人情報を盗むフィッシング詐欺やマルウェア、利用者とサービス事業者間の通信に割り込んで不正行為をする「中間者攻撃」などがあり、サイバー犯罪者が標的の人物に関する情報をSNSなどからかき集めて、その人物を巧妙にだます手口も横行する。スタプルトン氏は、「企業ではビッグデータの分析・活用が人気を集める。サイバー犯罪者もビッグデータを活用して手口を高度化されている。犯罪行為を防げないという前提での対策が必要だ」と指摘する。

　ネットバンキングで銀行などが講じている代表的なセキュリティ対策は多要素認証だろう。IDやパスワードの認証（第1認証）に、乱数表やワンタイムパスワードなど別の方法による認証（第2認証）を組み合わせて正しいユーザーかどうかを識別する。スタプルトン氏によれば、サービスの“入口”にあたる対策が上述のような手口を使う犯罪者によって容易に突破されてしまう。さらに「中間者攻撃」は、サービス“入口”の中での処理に介在してくるという点で非常に脅威といえる。

代表的なオンラインの対策をすり抜ける手口が幾つも使われているという

　「『境界部で守る』という伝統的なセキュリティ対策はいまも大切だが、これだけでは不正行為を止められない。ネットの不正対策に特効薬はなく、別の方法を組み合わせて対策を厚くするべき」とスタプルトン氏。

　具体的には、認証でユーザーを本人確認するだけではなく、認証後の動きもチェックして不正を検知したならば、その動きを止める。つまり、オンライン上での動きを“見える化”することが不可欠であり、“見える化”するための仕組みや、不正行為かどうか判断材料となる様々なセキュリティ脅威の情報を活用する必要があるという。

半年で350万ドルの被害を防ぐ

　同社ではオンライン上での不正行為を検知する仕組みの1つとして「Web Threat Detection」というシステムを提供している。ユーザーは金融機関や通信会社、動画配信などのサービスを提供する企業などだという。

　このシステムを使った成果として、新規に開設された口座からの不正送金被害に悩んでいたある銀行は、リアルタイムの監視が可能になった。システム導入後約1時間で、1つのIPアドレスから数千件の口座開設のリクエストが行われていることを検知し、ゲートウェイセキュリティシステムでのこのIPアドレスからの通信を遮断する措置を講じた。

　別の銀行では、承認を簡素化した100ドル以下の少額決済の仕組みが悪用される被害に悩んでいた。犯罪者はまず少額の決済を申請し、承認後に金額を大幅に増やす修正を行って送金してしまう。この銀行ではその被害を時間が経ってからしか検知できていなかったが、システム導入後はリアルタイムで検知して送金を止める対策を講じた。半年間で約350万ドル（約4億2000万円）の損失を回避できたという。

　利用者アカウントの乗っ取り被害に苦しむ銀行では、特にモバイルアプリからの不正行為対策で課題を抱えていた。スマートフォンなどから手軽にネットバンキングを利用できる新しいサービスであるがゆえに、アプリの脆弱性などを突く手法への対応ノウハウが十分ではなかった。システムを導入して例えば、スクリプトベースで行われるパスワードの総当たり攻撃を瞬時に検知するようにした。

　また、メールの添付ファイルなどを通じて拡散するマルウェア「Dyre」の亜種が仕掛ける中間者攻撃に対して、ある銀行ではオンライン上での処理をリアルタイムに監視し、マルウェアの巧妙な動きを検知できるようした。約4週間で330件のインシデントを検知でき、80万ドル相当の被害に遭わずに済んだという。銀行ではDyreに感染したユーザーに通知して、駆除などの対策をアドバイスしている。

ITベンダーや調査会社が推奨しているという対策での5つのアプローチ。不正行為を“見える化”することがまず必要だとしている

　スタプルトン氏は、今後もオンライン不正の巧妙化が進み、リスクが高まると警鐘を鳴らす。金融機関は取引処理などのプロセスでの“振る舞い”にも注目して不正を判断できる仕組みを活用すべきと主張する。さらに、セキュリティベンダー側も脅威情報などを積極的に他社へ提供し、ベンダー連携による対策を可能にしていくべきだと説く。不正の検知精度を高めるには、様々な種類の大量の情報を判断材料に使う必要があるためだという。

　Web Threat Detectionを導入する金融機関の約7割は大規模銀行や証券会社とのこと。スタプルトン氏によれば、取引規模が大きいほど同製品の効果が高まるというが、事業規模が小さく投資体力にも限りがある金融機関での利用は厳しいようだ。「複数機関で連携できればメリットはある」とスタプルトン氏は語っている。

事例記事ランキング

• 本日
• 週間
• 月間

1. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
2. 三井住友海上のRPA導入、そのキーマンは知る人ぞ知るExcel VBAマスターだった
3. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡
4. サンリオの「キティちゃん」を支えるデータベースのチカラ
5. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法

1. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
2. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
3. サンリオの「キティちゃん」を支えるデータベースのチカラ
4. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡
5. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル

1. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
2. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
3. サンリオの「キティちゃん」を支えるデータベースのチカラ
4. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル
5. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡