最優先される経営課題として-ネットバンキングに係る犯罪行為に対する対策(CA Security Reminder) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

最優先される経営課題として-ネットバンキングに係る犯罪行為に対する対策(CA Security Reminder)

特集 特集

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の 楠木秀明氏が、本年増加傾向にあるオンラインバンキングにおける不正行為の対策方法を提案する。

--
はじめに

IPAでは2012年は『企業は情報が狙われ、個人は金銭が狙われる』傾向がより強まると警戒を促していた。

その指摘通り、6-7月あたりから個人の金銭を狙ったネットバンキングにおける被害が急増・復活しているとの報道もある。

7月に公表された金融庁の主要行等向け、中小・地域金融機関向けの総合的な監督指針においても、ネットバンキングに係る犯罪行為に対する対策等については、最優先の経営課題の一つとして位置付けられるべきと読み取れる。

なぜ被害にあうのか?

これらの被害は「フィッシング」と呼ばれる手法が多く使われている。簡単に説明すると、偽サイトに誘導され、ID・Password・乱数表等のネットバンキングでログインや送金に必要な情報を入力させられ、結果的にそれらの情報を盗まれる。そして本人に「なりすまし」ネットバンキングに不正アクセスされ、預金を不正に送金されているのだ。

「なりすまし」に対する現状の対策は?

このような状況の中「なりすまし」に対して、実際にどのような対策が実施されているのだろうか?

ネットバンキングの現状を調査してみたところ、ID・Password以外の対策は、ワンタイムパスワード(以下、OTP)が主流となっている。OTPはパスワードが固定されていないため、「なりすまし」に対するリスクを軽減できる。

弊社の海外の傾向

弊社も、OTPを販売している企業である。しかし海外での販売実績をみてみると、必ずしもOTPばかりが対策の選択肢というわけではない。OTP以外の対策も選択されている事実がある。1つはリスクベース認証、もう1つはPKI認証と呼ばれる技術だ。

step1~リスクベース認証

これは「普段と違う振る舞いを検知」する技術だ。例えばいつもと違うデバイス等、予め登録されたルールに従い判定する。日本の場合、普段と違うと判定された際は、追加の質問により認証ステップを強化する事が一般的である。しかしフィッシングで追加の質問の答えが洩れてしまえば、結局は不正利用される可能性が残存する。

なお海外では、判定後いきなりシステムを利用不可とし、本人確認できる情報を郵送させる等のプロセスを経なければ再びシステムを利用できない企業もある。ただいきなりシステムを利用不可にしてしまう運用は、あまり日本には向いてないように思われる。

step2~PKI認証

これはパスワードや追加の質問に代表される「本人しか知らないもの」に加え「本人しか持っていないもの(証明書)」を認証要素に加える技術だ。仮にID・Passwordが盗まれた場合「本人しか持っていないもの(証明書)」を保持していない為、認証が成立しない。

この技術の強みは、日本で主流のOTPで防げない中間者攻撃からの不正利用も防止できることだ。言い換えるとOTPは中間者攻撃と呼ばれる攻撃をうけた場合、不正利用が防げないことが懸念される。

「本人しか持っていないもの(証明書)」を用い認証させる場合は、認証先のサイトの正当性を確認できる。つまり偽サイトか否かをシステム的に見分けることが可能になる。これにより中間者攻撃での不正利用を防ぐことが可能になることが利点となる。

まとめ

ネットバンキングに係る犯罪行為の対策として、日本の主流となっているOTPを、弊社としても販売しているので、完全否定するつもりはない。最近、目立って被害が多いフィッシングであればOTPは有効な対策である。

ただその他にも不正利用される手法、例えば中間者攻撃等からの対策も考慮するのであれば、OTP以外にも、リスクベース認証やPKI認証という選択肢もあることを、是非思い出してほしい。 

(楠木秀明)

筆者略歴:日本CA株式会社 ソリューション事業部 セキュリティソリューション部 プリンシパルコンサルタント CISSP、CISA
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. ISMS認証とは何か■第1回■

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×