じぶん銀行、アプリ1つで不正送金を防止できる「トランザクション認証」を導入

[田中聡，ITmedia]

　じぶん銀行は、じぶん銀行アプリにて、インターネットバンキングでの不正アクセスを防止するために、新たに「スマホ認証サービス」の提供を6月14日に開始した。まずはAndroid向けアプリで利用でき、iOSアプリは後日対応する予定。

　スマホ認証では、「トランザクション認証機能」を採用していることが大きな特徴。トランザクション認証では、ユーザーが入力した取引内容を含んだワンタイムパスワードを生成して認証する。アプリとサーバで生成したワンタイムパスワードを照合し、一致すれば取引を実行、一致しなければキャンセルとなる。

　これにより、第三者からの不正アクセスや、送金先を書き換えるなどの取引内容の改ざんを、より高いセキュリティのもと防げる。ユーザーが手動でワンタイムパスワードを入力する必要もなく、使い勝手の良さも両立させた。同社によると、スマートフォンの銀行アプリでトランザクション認証を導入するには邦銀では初となる。

　スマホ認証は、PCとスマートフォンアプリでの取引両方で適用される。対象となる取引は、振込取引（ケータイ番号振込を含む）と携帯電話番号変更。アプリを最新版にバージョンアップし、じぶん銀行のインターネットバンキングにログイン後、「各種手続き・照会」の中にある「スマホ認証申込」から申し込むことで、スマホ認証を利用可能になる。

　PCから取引をする場合、スマートフォンが取引内容を確認する機器となる2経路認証となるほか、ログイン認証とトランザクション認証の2要素認証になるため、より高いセキュリティを実現する。

PCから取引する場合の流れ

　PCで入力した取引内容とスマホに表示する取引内容が改ざんされても、一見正しい取引のように見えるために、ユーザーが気づかず承認してしまう恐れがある。しかしトランザクション認証では、「インターネットバンキングサーバに届いている取引内容」と「アプリに届いている取引内容」が異なるため、ワンタイムパスワードが一致せず、取引は自動的にキャンセルされる。

PCとスマホの取引内容を改ざんされて承認をしても、キャンセル扱いになる

　スマートフォンアプリでのみ取引をする際は、パスワードカードなどの専用機器を使うことなく、アプリ1つでトランザクション認証を利用できる。アプリでの取引内容を改ざんされた場合、確認画面に改ざんされた内容（異なる振込先）が表示されるため、改ざんに気づける。ただしそのまま「承認する」を押してしまうとキャンセルできないので、振込先の内容は注意してチェックしたい。

スマートフォンアプリから取引する場合の流れ