検索
ニュース

auじぶん銀行はAIで対抗――金融犯罪対策はなぜ難しいのか? 有効な対策とは?

AIの悪用で巧妙化が進む金融犯罪。実害を防ぐ上で、どこに難しさがあるのか。金融機関はどう対処すべきか。auじぶん銀行の取り組みと専門家の議論から、これらの疑問の解を探る。

Share
Tweet
LINE
Hatena

 巧妙化する金融犯罪は、もはや金融機関による顧客への注意喚起だけでは防ぎ切れない段階に入っている。AIを悪用した手口により、従来の認証や不正検知の前提そのものが揺らぎつつあるからだ。脅威にさらされる金融機関のIT・セキュリティ部門にとっては、手口の高度化を前提に金融犯罪対策を再設計し、主体的に防御力を引き上げることが欠かせない。

 金融犯罪の実害を防ぐために、金融機関はどのように対策を進化させるべきなのか。セキュリティベンダーのラックが2026年1月に開催したイベント「LAC Security & AI Day 2026」における、先進的な取り組みを進める金融機関とセキュリティの専門家のパネルディスカッションから、そのヒントを探る。

 パネルディスカッションの登壇者は、auじぶん銀行で執行役員を務める光末史郎氏、国土交通省で最高情報セキュリティアドバイザーを務める北尾辰也氏、ラックの金融犯罪対策センター(FC3)でエバンジェリストを務める小森美武氏の3人だ。いずれも三菱UFJ銀行出身者という共通点がある。

巧妙化する金融犯罪の実態

 警察庁によると、国内における詐欺・窃盗などの財産犯の被害額は2023年から急増傾向にあり、2024年には過去最多(前年比89.1%増)の3075億円に達した(図1)。詐欺被害額の半分以上がインターネットを利用した詐欺だ。米国では、資産運用を装って金銭をだまし取る投資詐欺や、恋愛感情を利用して送金させるロマンス詐欺といった手口が主流で、その被害額は国内と比べて大幅に多いという。

画像
図1 国内における財産犯の被害額(出典:ラックの資料)《クリックで拡大》
写真
国土交通省の北尾辰也氏(写真は全て編集部撮影)

 金融犯罪では、人物の声を再現する音声合成や偽映像を作るフェイク動画、さらにはそれらを組み合わせて本人になりすますディープフェイクなど、AIを悪用した巧妙な手口が確認されている。北尾氏は「画像の不自然さはある程度見分けられるとしても、音声の場合は難しい」と指摘する。

写真
ラックの小森美武氏

 AIの悪用に限らず、対策が難しい手口はある。一例として小森氏が挙げるのが「リアルタイムフィッシング」だ。金融機関のWebサイトを巧妙に模した偽サイトへ、フィッシングメールなどで顧客を誘導し、正規サイトだと信じ込ませてパスワードなどを入力させることで情報を窃取する。特徴は、犯罪者が顧客の入力内容を、裏側でリアルタイムに取得・中継する点にある。

 リアルタイムフィッシングは、有効なフィッシング対策だとされてきた多要素認証を無力化する。多要素認証は、ID・パスワードに加えてワンタイムパスワード(OTP)や生体情報など、複数の認証要素を組み合わせて本人確認をする仕組みだ。リアルタイムフィッシングでは、認証要素の一つであるOTPを犯罪者がリアルタイムで中継し、正規サイトに入力することで、なりすましログインが成立してしまう。

 「多要素認証が無力化されると、非常に厳しい状況になる」と小森氏は指摘する。2025年春に約7000億円の被害が発生した証券口座の乗っ取り事案も、その多くがリアルタイムフィッシングによる可能性があるというのが、同氏の見方だ。

 他にも、顧客自身がだまされた結果として、自ら操作して振り込んでしまう「承認された支払い(APP)詐欺」も対策が難しい。これらの金融犯罪への対策が比較的進んでいる米国でも、被害額は増加傾向にあり、対策の高度化が引き続き求められている。

不正対策には“ジレンマ”も

写真
auじぶん銀行の光末史郎氏

 小森氏は、不正送金の受け皿となる不正口座を「諸悪の根源」だと位置付け、その増加に警鐘を鳴らす。auじぶん銀行の光末氏も同様の認識を示す一方、銀行は事業拡大に向けて口座開設を促進している側面もあり「対策は容易ではない」との見解を示す。

 犯罪者自身による不正口座開設は、2027年4月施行の改正犯罪収益移転防止法(犯収法)で本人確認時のICチップ読み取りが義務化されることで、一定程度は抑止できる見込みだ。ただし既存口座の譲渡への対処は依然として難しい。

不正取引検知システムには課題も 米国では新たな対策が普及へ

 金融犯罪への対抗策としては、ルールに基づいて取引の異常を検知する不正取引検知システムがある。北尾氏はこれについて「ログイン時と取引時の2段階で検知する“2つのゲート”を設けるのが一般的だ」と説明する。ログイン時はネットワークやデバイスの状態、地理情報など、取引時は金額や頻度などのルールを基に、不正リスクを評価する。

 ルール設計には難しさもある。それを理解する上での“たとえ話”として北尾氏は「車を購入して販売店に振り込もうとしたら、止められた」というケースを挙げる。正常な取引であっても、たまに高額な取引が発生すると、システムは「普段と異なる高額振り込み」であることから異常だと判定してしまうことがある。こうした誤検知は、人手で定義したルールだけでは対処に限界があることの現れだ。同氏は、今後はAIを活用してルールを動的に調整し、検知精度を高めることが不可欠になるとの見方を示す。

 巧妙化する金融犯罪への対策として、米国で導入が進み始めているのが「リアルタイムのマルチモーダル検知技術」だ。北尾氏はこれを「顧客を欺く目的で提示される画像や音声、映像、テキストなどの情報を、横断的に解析するAI」だと説明する。複数の情報を組み合わせて分析することで、検知精度の向上を図る狙いがある。取引パターンから不審な動きを見極める異常取引検知も、特に米国の銀行を中心に導入が進んでいるという。

被害経験から得た教訓を基に、AIを金融犯罪対策に生かすauじぶん銀行

 auじぶん銀行は金融犯罪対策を強化するために、ラックの「AIゼロフラウド」をいち早く導入した。AIゼロフラウドは、金融犯罪対策に特化したラック独自のAIエンジンを活用した不正検知システムだ。

 AIゼロフラウドの特徴は「不正を見逃さない精度」と「誤検知を減らす精度」の両立にあると、小森氏は説明する。従来のルールベース型システムと比べて、不正検知率を高めつつ、誤検知を大幅に抑制できるという。AIゼロフラウドが検知対象とする主な金融犯罪は「インターネットバンキングの不正送金」「ATM(現金自動預払機)を使った特殊詐欺」「不正口座」の3種類だ。

 光末氏はAIゼロフラウド導入の背景として、auじぶん銀行で2020年と2023年に発生した大規模なフィッシング詐欺による不正送金被害を挙げる(図2)。犯罪者が同行を装った偽サイトに顧客を誘導し、認証情報を窃取。顧客向けアプリケーションを乗っ取った上で振り込みの限度額を引き上げ、犯罪者の口座に不正送金するという典型的な手口だった。

画像
図2 auじぶん銀行がAIゼロフラウドを導入したきっかけ(出典:auじぶん銀行の資料)《クリックで拡大》

 それまでauじぶん銀行は、偽サイトの検知や注意喚起、外部機関との連携、不正IPアドレスからの通信の遮断、モニタリング強化などの対策を講じてきた。それでも不正送金の被害はなかなか収束しなかったという。そこで振り込みの限度額の引き下げや「モアタイム」の一時停止といった、利便性を犠牲にする対策にまで踏み込んだ。モアタイムは、営業時間外でも即時振り込みを可能にする仕組みだ。これを制限し、犯罪者にとっての“使い勝手”を大きく下げた結果、被害はようやく収束に向かった。

 この経験から得た教訓として、光末氏は次の4点を挙げる。

  1. 犯罪者は「労力に対するリターン」を重視しており、利便性が下がれば離れる一方、利益が見込める限り攻撃は続く。
  2. 顧客の利便性を維持しつつ犯罪者の利便性を下げるには、多層的な対策が欠かせない。
  3. 注意喚起やOTP認証は一定の効果はあるものの、だまされた顧客は違和感に気付きにくいことから、効果には限界がある。
  4. 送金を強制的に止める仕組みと、攻撃の高度化に応じた対策の更新が必要になる。

 特に光末氏が強調するのは、被害抑止には「強制的に送金を止める手段」が不可欠という点だ。実際、だまされた顧客は注意喚起や認証といった“防波堤”があっても、犯罪者の指示に従って操作してしまう傾向がある。

 誤検知によって送金を強制的に保留にした場合、顧客からの問い合わせが殺到し、コールセンターの顧客対応が逼迫(ひっぱく)する懸念がある。インターネット銀行では対面窓口が限られ、コールセンターの機能低下はそのまま信用問題に直結する。実際にauじぶん銀行では、ルールベースのみでは保留件数が増大することが事前に見えていたという。そこで同行は、検知精度の高さを評価してAIゼロフラウドを導入した。

 auじぶん銀行はAIゼロフラウドによって取引ごとにリスクを評価し、高リスクだと判定した取引を拒否するようにした。中リスクの取引にはOTPや電話確認などによる追加認証を実施し、低リスクの取引はそのまま処理する。

 実はauじぶん銀行はAIゼロフラウドに加えて、従来のルールベース検知も併用している。過去のフィッシング被害の経験から、銀行側の対策に応じて攻撃手法が変化すると同行は考えていた。このため将来的にAI検知をすり抜ける手口が現れる可能性を見据え、検知の確実性を高める手段としてルールベースも残したのだ。

 AIベース検知とルールベース検知の併用は設計が複雑であり、前例もなかったことから開発は容易ではなかったという。それでも「本音の議論を重ねたことで、完成度の高い仕組みにできた」と光末氏は振り返る(図3)。PoC(概念実証)のシミュレーションでは、振り込みの保留数と誤検知数のいずれもルールベースから98%減少する成果を確認した。「大規模なフィッシングが発生しても、完全とは言えないまでも、かなりの安心感を持てる状況になった」と同氏は語る。

画像
図3 auじぶん銀行における、AIゼロフラウドによる金融犯罪対策の仕組み(出典:auじぶん銀行の資料)《クリックで拡大》

 金融犯罪対策には、情報収集に加えて「先を見据えること」が必要になると北尾氏は指摘する。金融機関が対策を講じると、犯罪者はそれに応じて手口を変える。例えば不正取引を阻止された犯罪者が、コールセンターにクレームを装って連絡してくることもあるという。犯罪者は不正ログインを通じて、被害者の個人情報をある程度把握している。こうした知識を悪用し、クレームを装って連絡することで、コールセンターの簡易的な身元確認を突破してしまうのだ。同氏はこれを「コールセンターをだます詐欺」と説明し、海外では既に事例が報告されていると指摘する。

 生成AIの急速な進展により、言語という障壁で守られてきた国内市場にも、グローバル水準の攻撃が流入し始めている。攻撃の高度化が進む中で、対策もまたAIを前提に再構築する段階に入った。最新の攻撃手法の把握に加えて、セキュリティ対策へのAI活用を本格的に検討すべき局面にある。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る