金融機関が抱える不正ログイン・不正送金問題と対策とは？～具体的な不正ログインの手口とは？～

こんにちは、CyberSecurityTIMES編集部です。
【教えて！Webセキュリティ対策】第10弾はかっこ株式会社（以下かっこ）です。かっこはECサイトの不正購入を検知する「O-PLUX」、インターネットバンキングなどの不正ログインを検知する「O-motion」を展開している企業です。
今回は、金融機関などが抱える不正ログイン・不正送金問題に着目し、その現状と課題、かっこが提供するセキュリティサービスについて、ソリューション事業本部　事業開発ディビジョン　事業開発グループにてアシスタントマネージャーを務める川口 祐介様にお話を伺ってまいりました。

Q：昨今、金融機関を中心に不正ログインや不正送金の被害が取り沙汰されていますが、その現状を教えてください。また、ここが狙われやすいといった傾向はあるのでしょうか？

A：2016年の記録だと、ネットバンキングだけで約16億円もの不正送金がありました。
2017年上期も約６億円の不正送金が発覚しています。
警察庁によるサイバー攻撃の脅威情勢レポート
金融機関の規模が大きいほど狙われやすいかというと、あまり関係なく狙われていると感じています。地銀に被害が集中したと思ったら次はメガバンクなど、傾向があるわけでなくバラバラです。

ただ、法人口座と個人口座のどちらが狙われやすいかという観点だと、個人口座が狙われやすい傾向にあります。法人口座の場合、その口座を利用するパソコンを特定する電子証明書方式を利用できますが、個人口座には電子証明書方式がないからです。
必然的に、法人に比べて無防備な個人口座が狙われやすくなってしまうのです。

Q:不正ログインや不正送金対策における課題を教えてください。

A：不正ログイン・なりすましは、ユーザーに扮した攻撃者がログインし、不正な振込や引き出しを行うものですが、攻撃者はあらゆる手段を用いて不正ログインを試みており、手口は日々多様化されてきています。それらにどう対抗していくかが金融機関や私どもの課題となっています。

具体的には、従来であればファイヤーウォールを利用して特定のIPを監視していれば対応できたのですが、攻撃者も手法を変えており、IPを頻繁に変更したりさまざまなデバイスを利用して不正ログインを行うため、特定のIPを監視するだけでは済まなくなってきました。攻撃者の技術レベルの高度化に対抗して、企業も対策方法を工夫しなければなりません。
また、不正ログイン対策として効果的な対策は数多くありますが、セキュリティを強化するほどユーザーにとっては不便になるといった課題も解決しなければなりません。

昔は仕組み化されたリスト型攻撃やブルートフォースアタックがパソコンを用いて無作為に行われていたため、パソコンからのログインを対策していれば問題ありませんでした。
しかし、最近は雇われた引き出し役がパソコンを使うことなく、スマホを利用して一個人としてすり抜けるように不正ログインを行う傾向があります。不正ログインを行った端末情報を見ても、やはりスマホ利用の傾向だとわかります。
人的に複数の機器を利用してログインを試みるといった一見アナログな手口ですが、不正ログインだと気づかせないように工夫された結果です。

Q：攻撃者の手法も変化してきたということですが、不正ログイン対策を行うにあたって、金融機関ではどのような取り組みを行なっているのでしょうか？

A：多くの金融機関では入り口対策を行なっています。弊社サービスの「O-motion」も入り口対策の一つです。
不正ログインに利用される入り口は、裏ルートや隠しゲートなどではなく、金融機関がユーザーに提供している正規のログインフォームです。攻撃者は盗んだID・パスワードで通常のユーザーと同じようにログインするため、それが本人なのか偽者なのかはわかりません。そこで、本人か偽者かを判断するために入り口対策が必要になってくるわけです。

みなさんもインターネットバンキングを利用したときに、合言葉や秘密の質問、ワンタイムパスワードといったID・パスワード以外の情報入力を求められることがあると思います。
これが不正ログインを防ぐために導入された、本人を特定する入り口対策、認証制度です。攻撃者は知り得ない情報として、一個人を特定するものです。

しかしこの認証制度は一日に何度も取引を行うユーザーにとっては不便な仕組みです。先に申し上げたように、セキュリティ強化に伴うユーザビリティの低下から、ストレスを感じているユーザーは少なくないでしょう。
また、こうした認証制度を設けることによって、合言葉や秘密の質問を忘れてしまったという問い合わせも増えるため、比例して企業側の負担も増えてしまいます。
怪しい送金や引き落としがないかの確認を、人の目でモニタリングしている企業もあります。現在は他行への15時以降の振込は翌営業日に処理される仕組みなので、15時以降の怪しい送金に関しては翌営業日中に確認すれば良いのですが、2018年の秋には他銀行間振込が24時間対応可能になり、お金のやりとりが即時に処理されるようになってしまいます。
この制度変更によって、今まで目視でモニタリングしていたものを24時間体制で確認をしなければならなくなるため、見落としによる処理のミスが出たりとても現実的ではありません。

Q：ここまで、不正ログイン・なりすましの実態と、企業の対策状況やそれにともなう負担の増加についてお聞きしましたが、あらためて不正ログイン・なりすましを検知する「O-motion」について教えてください。

A：「O-motion」は、正規ユーザーのログイン時の端末情報、キーの打ち方やマウスの動きといった操作情報の両面をインプットして、不正か否かを判定する特徴があります。
従来のIPアドレスやUAを元にした対策では識別しきれなかった不正も端末情報を用いて判定・検知が可能です。
過去の正常なログインとは異なる不審な動線や端末利用であった場合に、担当者へ通知が届くアラート機能もありますので、すぐに白か黒かがわかるのです。
このように見るべき項目が限られているおかげで、いままで膨大なリソースを割いていた確認作業を行わずに済みますし、なりすましの疑いがあるユーザーのみワンタイムパスワード認証やアカウント情報の再入力を促すことができるようになるため、企業やユーザーの負担を軽減することができます。
導入方法はシンプルで、指定のJavaScriptタグを対象ページに埋め込むだけです。担当者は煩わしいアップデートや管理を行う必要もありません。
簡単にサービスを始められ、少ないリソースで運用できることから、ネットバンクや証券といった多くの金融機関でご利用いただいています。

Q：不正ログインは各企業から流出したアカウント情報を用いて行われます。企業の担当者が行うべきセキュリティ対策は何だと考えますか？

A：不正ログインに利用されるアカウント情報は主に自分たち以外の企業から流出したものです。
そういった第三者から情報が流出する、ということは自分たちではどうやっても止められるものではありません。個人情報は流出する、不正ログインされる前提で備えるべきでしょう。それは金融機関に関わらずすべての企業に対して言えることです。
不正ログイン対策を行うこととは別に、自分たちはなにをするべきか？それは自分たちがその第三者にならないように努めることです。

どこから何をされても大丈夫なように完璧なシステムを作る、そんなことはどの企業にもできないと思います。システムも時間の経過とともに劣化していく可能性もありますし、脆弱性を見つけることができない場合だってあります。担当者がすべてを把握して、大小さまざまなフレームワークの情報を常にキャッチして、穴があったらすぐに対応してなんていうことは難しいですよね。
そういった人的リソースだけでは賄えない部分は、スペシャリストに任せる、要はセキュリティサービスを利用することでカバーしていけば良いのではないでしょうか。

例えば、Webサイトのアプリケーション層を保護するWAF（Web Application Firewall）をひとついれるだけでも負担は軽減されるでしょう。Webサイトの脆弱性を突いた攻撃の対策もできますよね。
WAFも以前であれば、構築・運用・保守・管理を社内で行わなければならなかったこともあり、WAFを運用すること自体が企業にとって負担になっていました。現在はクラウド型も普及して、運用面、費用面でも手軽にセキュリティ対策ができるようになりましたね。
アカウント情報の流出を防ぐセキュリティ対策にはこのサービス、不正ログインを検知するためのセキュリティ対策ならあのサービスといったように、必要な場所に適切なセキュリティ対策を行うことが大切だと考えます。

Q：今後、かっこはどのようなビジネス展開を行う予定でしょうか？

A：かっこは「O-motion」とリアルタイム不正注文検知サービスの「O-PLUX」というソリューションを持っています。この２つのサービスの更なる拡充を目指します。
ほかにもデータサイエンス事業を行っていて、これらのビジネスで得た情報を活用していきたいですね。
ビッグデータという観点でいうと、どういった方がどんな決済を使っているか、お客様の属性、といったような情報がございます。
一方でログイン関係だと、このログインが行われた端末が正常か異常かという情報があります。それぞれ性質は違いますが、各種データを組み合わせることで最終的に企業に対して付加価値を提供可能なデータプラットフォームを構築できるのではないかと考えています。
セキュリティ観点で言うと、不正対策としてユーザーにとっても企業にとっても負担にならない最適化の方法や考え方をアドバイスすることができると思います。
弊社のサービスを通して、お客様のビジネスにより価値のある情報を提供できるようになりたいです。

かっこが取り組む不正ログイン対策と、金融機関が抱えるセキュリティ課題についてお話しいただきました。また、現状は金融機関にとって不正ログインは避けられない問題であること、セキュリティを強化するほどユーザビリティは低下するといった課題を解決するサービス「O-motion」についてお聞きしました。攻撃者の手口が巧妙化していく今、かっこの提供するサービスがさらに注目されそうですね。
本日はありがとうございました。

***

当サイト「CyberSecurityTIMES」を運営している弊社サイバーセキュリティクラウドでは、Webセキュリティ対策のソフトウェア「攻撃遮断くん」を提供しております。

専門家によるサポートも充実しておりますので、お気軽にお問合せください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。