ROIでは語れない メガバンク出身エバンジェリストが語る金融犯罪対策の勘所：ラック金融犯罪対策センターの取り組みとは

詐欺被害の急拡大と手口の高度化により、金融犯罪対策の成果はROIだけでは測れない領域に入りつつある。メガバンクで対策を主導してきたラック金融犯罪対策センターのエバンジェリスト小森美武氏に、金融機関が押さえるべき対策の勘所を聞いた。

[PR／ITmedia]

　警察庁の「令和7年の犯罪情勢」によると、2025年の詐欺被害額は約4029億円と、前年比で31.1％増加した。詐欺被害の多くを占めるのが、SNSを使った投資詐欺やロマンス詐欺だ。今や社会インフラとなったインターネットは、その利便性の裏側で金融犯罪被害が深刻化している。

　金融犯罪の加害者は、被害者をだまして送金させたり、金融機関のインターネットバンキングなどに不正アクセス（口座乗っ取り）したりして資金を奪う。いずれの手口でも、最終的な金銭的被害が確定するのは資金が金融機関から出る瞬間だ。つまり金融機関こそが「最後のとりで」であり、政府も不正取引の迅速な検知と出金停止を強く求めている。

　こうした状況に正面から向き合うのが、ラックの金融犯罪対策センター（以下、FC3＝Financial Crime Control Center）だ。同センターはメガバンク出身の実務家が陣頭指揮を執り、コンサルティング、AIを活用した不正取引検知システムの提供、業界横断の共通言語となる金融犯罪全般の包括的ナレッジベース（金融犯罪キルチェーン）の新規作成など、多層的なアプローチで金融犯罪に対抗している。FC3エバンジェリストの小森美武氏に、その知見と取り組みの全容を聞いた。

金融庁が「金融犯罪対策室」に名称変更した意味

ラックの小森美武氏（FC3 エバンジェリスト）

　金融犯罪対策の従来の主軸はマネーロンダリング（資金洗浄）対策だった。金融庁は2018年2月に「マネーローンダリング・テロ資金供与対策企画室」を設置し、金融機関に対策を強く指導してきた。2023年ごろから潮目が変わり、詐欺被害が急増。その流れを受けて、金融庁は2024年7月に同組織を「金融犯罪対策室」に改称した。これは、詐欺対策に本腰を入れるという意思表示に他ならない。

　金融庁は監督方針や要請文を相次いで公表し、金融機関に対策の強化を求めている。対策が十分に進まない場合は、行政処分なども視野に入れている。「金融機関は大きなプレッシャーの中、対策に追われています」と、小森氏は現場の負担感を説明する。

　犯罪者の手口も進化している。従来は、OTP（ワンタイムパスワード）による認証強化とルールベースの不正取引検知システムの組み合わせで一定レベルの防御が成り立っていた。しかし、現在はOTPを盗み取る「リアルタイムフィッシング」といった高度な手口が登場して、従来の認証対策だけでは対処し切れなくなりつつある。AIを悪用してフィッシングメールの文面をより自然にするなど、手口が急速に巧妙化・多様化する中、ルールベースの不正取引検知システムは限界を迎えつつある。

エバンジェリストは3つの条件を満たす希少な存在

　金融犯罪による実害を防ぐには、最新の犯罪手口に即してセキュリティ対策を高度化する必要がある。ただし予算は有限であり、どの対策にどれだけ投資すべきかの判断は容易ではない。小森氏の下には「対策の抜け漏れがないかどうかを確認してほしい」「対策として、どの製品／サービスが良いのかを教えてほしい」といった金融機関からの相談が絶えないという。

　金融機関が相談先に求める要素は3つあると小森氏は説明する。「金融犯罪の最新手口と対策に詳しいこと」「銀行の実務を机上の空論ではなく真の意味で理解していること」「海外の最先端の対策技術を把握していること」だ。

　小森氏はその条件を満たす希少な人物だ。メガバンクでリスク統括オフィサーなどを歴任し、金融犯罪対策の陣頭指揮を執った。6年間の英国駐在やドイツ留学の経験から海外事情にも精通しており、FSB（Financial Stability Board：金融安定理事会）や英国の内務省内務局幹部（詐欺対策責任者など）、Mastercardのバイスプレジデントといった、世界トップレベルの専門家と意見交換する関係にある。金融機関に対する規制や対策に関する報道の情報源となっている当事者と直接対話した内容を基に、金融庁の幹部とも意見交換をする。

　「金融犯罪対策はROI（投資対効果）の問題ではありません」と小森氏は言い切る。背景には、金融機関がビジネスを継続する上で金融犯罪がもたらす影響が極めて大きいことがある。警察庁の公表データによると、SNS型の投資詐欺とロマンス詐欺の2025年の被害額は約1800億円に上る。大手メガバンク1行当たりでは約100億円、大手地銀でも20億〜30億円に相当する計算だ。

　「英国やシンガポールでは、正規送金詐欺被害（投資詐欺やロマンス詐欺）を金融機関に補償義務化する制度が2024年から始まりました。欧米の金融機関の間では、被害を未然に防ぐ対策に積極的に投資すべきだという考え方が主流です。日本においても金融機関は対策にかかる費用をROIで測るのではなく、公共インフラとして顧客と消費者を守るための必要コストと認識することが、海外の最先端の考え方に即しています」と同氏は強調する。

AIの悪用にはAIによる防御で対抗する「AIゼロフラウド」の仕組み

　金融犯罪対策を支援するためにラックが開発したのが、不正取引検知システム「AIゼロフラウド」だ。AIゼロフラウドは勘定系やインターネットバンキング、アンチマネーロンダリングシステムなど金融機関の中核システムと連携し、取引情報をリアルタイムに分析。不正の可能性をスコアとして算出する。金融機関は、スコアに応じて取引を停止したり本人確認やワンタイムパスワード（OTP）認証を再度求めたりすることで、不正取引などの金融犯罪を防ぐ。

AIゼロフラウドの特長（提供：ラック）《クリックで拡大》

　AIゼロフラウドの特徴の一つが、不正検知率の高さだ。小森氏によると、ルールベースの不正取引検知システムの不正検知率が60％程度なのに対して、AIゼロフラウドは約90％に上る。ラックは検知精度を高めるために、2つの工夫を施した。

　1つ目はAIの学習前の工程、すなわちAIの前処理だ。大量の取引データをそのまま教師データにするのではなく、前段階として「こうした動きがあると、犯罪である可能性が極めて高い」といった300種類以上のパターン（特徴量）をAIに学習させる。その上で、ユーザー企業である金融機関の実取引データで再学習させる。犯行手口の学習パターン（特徴量）は、小森氏など金融機関での実務経験を持つFC3の専門家の知見を基にまとめたものだ。

　2つ目は、パラメーターの粒度だ。取引が発生した地域やATMの場所、時間帯、金額など300種類以上のパラメーターとしきい値を掛け合わせた1万通り以上のルールを使用して異常な取引を検出する。

　金融機関が不正取引に対処する上で見逃せないのが、誤検知の問題だ。正常な取引を誤って不正と判定してしまうと、法人口座であれば口座凍結によって決済が止まって不渡りや倒産につながる恐れがある。この懸念から、明らかな不正のみを検知対象にするために、従来のルールベースの不正取引検知システムは検知レベルを下げざるを得なかった。

　裏を返せば、誤検知を減らせれば、金融機関は安心して検知レベルを引き上げられる。AIゼロフラウドは単に検知率を上げるのではなく、検知精度を高めつつ誤検知の発生も抑制している。2025年末にリアルタイムAI不正取引検知を導入したauじぶん銀行は、AIゼロフラウドの導入によって誤検知が大幅に削減されたという。

AIの説明可能性にも配慮

　AIゼロフラウドの強みとして、不正だと判定した理由を説明できる点がある。AIは処理内容がブラックボックスとなり、何らかの判断を示したとしても「なぜその判断を下したのか」を説明できないことがある。これに対し、AIゼロフラウドはパラメーター（特徴量）に基づくスコアリングで犯罪かどうかを判断するため、「これらのパラメーターに異常があるから犯罪の可能性がある」といった具合に判断の根拠を示せる。

　判断理由が明確であれば、金融機関の担当者はAIによる判断の妥当性を検証しやすくなり、取引停止といった間違いが許されないアクションに踏み切りやすくなる。

　被害者本人がだまされて自ら送金する「正規送金詐欺」（APP）は、金融機関のシステムでは正規の取引に見えるため対策が難しい。AIゼロフラウドは、APPについても80％以上の検知率を誇る。早くからAPPの被害が広がっている海外の事例を踏まえて、APPに特有の取引パターンを認識する仕組みを組み込んでいるからだ。

「共通言語」で業界横断の対策を可能にする金融犯罪キルチェーン「FC3 マトリクス」

　ラックは2026年2月に金融犯罪キルチェーン「FC3 マトリクス」を公開した。FC3マトリクスは、口座乗っ取りや不正送金といったさまざまな犯罪手口を、サイバーキルチェーンの考え方で犯罪ライフサイクルに沿って体系化した金融犯罪対策の包括的なナレッジベースだ。国土交通省の最高情報セキュリティアドバイザーであり、FC3アドバイザーでもある北尾辰也氏と共同で作成した。

　金融犯罪対策に関する役割が複数の組織に分散し、それぞれが定義の異なる用語を使用していると情報共有が滞り、初動の遅れや分析の浅さにつながりかねない。FC3 マトリクスは、全ての関係者が共通言語で金融犯罪対策に対処するための土台を提供する。

　ラックはFC3 マトリクスを作成する上で、海外の金融犯罪動向も参照した。ただし「海外の犯罪手口と国内の実務の両方を踏まえて金融犯罪キルチェーンを体系化することは、決して簡単ではありません」と小森氏は語る。海外事例は国内に当てはまらない場合があり、逆もまたしかりだからだ。海外と国内の事情に精通する小森氏を中心とした専門家の存在が、FC3 マトリクスを生み出す原動力になっている。

金融犯罪キルチェーン「FC3 マトリクス」の活用例（提供：ラック）《クリックで拡大》

SaaS版で金融犯罪対策の“民主化”を実現

　ラックの金融犯罪対策は今後、2つの方向に向かって進化する。

　1つ目は、AIゼロフラウドのSaaS版の提供だ。現行のAIゼロフラウドは、各金融機関のデータを使って学習するといったカスタマイズが前提であり、導入にそれなりの時間や負担を要する。規模や地域によらず国内の金融機関が利用できるようにするためには、インターネット接続だけで使えるSaaS版の提供が必要だとラックは考えている。

　2つ目は、検知精度向上に向けた最先端技術の導入だ。「行動バイオメトリクス」の組み込みを検討しており、タイピングの癖や速度、端末の傾きなどを分析してなりすましを検知する。住所入力の異常な速さを「ダークWebで入手したリストから自動で転記しているのではないか」といった判断につなげるなど、行動を基に異常を検出できるようにする。

　こうした取り組みの先に、小森氏が見据えるものがある。「金融犯罪被害は、今この瞬間も増え続けています。技術だけでも、制度だけでも止められない。人、システム、ナレッジの3つを束ねてこそ、初めて『最後のとりで』が機能する。その体制を日本全体に広げるために金融機関を支援することがFC3の使命だと考えています」