◇ 金融犯罪防止と情報セキュリティ向上策 ◇


当レポートは、地銀協月報2007年3月号への寄稿文に加筆したものです。当サイトで掲載したレポート「金融ネット犯罪の動向と防止策」(2005年11月)を元に、その後の動向を反映し、ATM関連の内容を追加しています。

金融庁が今年の監督指針にネット犯罪関連の対策実施状況を付加したこともあり、OTPなどによる個人認証強化、銀行サイトの真正性認証、リスクベース認証などの導入が相次いでいます。しかし、犯罪者側は常に銀行の防御策を破る手段を追求しており、単にツールを導入するだけでは持続的な防犯効果を期待できません。顧客と協力した組織的防犯体制が必要です。しかし、そのための組織力やコスト負担を賄えない金融機関があるかもしれません。ネットワークにおいては、脆弱な箇所を放置することは全体を危険に晒すことになります。業界全体として協力することが必要ですし、場合によっては関連ベンダーや公的機関との協力体制が必要になるでしょう。


はじめに

偽造カードによる預金の不正引出しが社会問題化し、昨年2月に預金者保護法が施行された。銀行業界は、預金者の啓蒙活動強化を始めとして各種対策を実施した。昨年は、表1にあるように、偽造カードによる犯罪被害は急速に減少した。しかしながら、盗難カードによる被害や法人カード、ネットバンキング関連の不正引出しに関する補償の法的義務化を求める声もあり、セキュリティ対策の一段の強化を避けて通れない。金融庁は、昨年7月に「情報セキュリティに関する検討会の概要」をとりまとめ、これを受ける形で本年1月には、ATMとネットバンキングのセキュリティ対策状況に関する監督指針を公表している。携帯バンキングや電子マネーなどの普及により、非対面で顧客自身が機器操作する取引が多様化し増加することは確実である。また、製販分離の進展に伴って、代理店への機器設置など銀行が直接保安管理できない拠点が増える。銀行としては、犯罪者とのいたちごっこの技術競争を続けながら、顧客資産の保護、利便性の向上、セキュリティ・コストの抑制という相矛盾する要件を満たさなくてはならない。この難問への対応は、決して規制当局に強制されて実施するものではなく、また、IT部門、セキュリティ担当者、外部委託先に全面委任できるものではない。経営マターであり、営業マターである。


1.セキュリティ対策の基本

リスク管理と全く同様であり、以下6つの基本原則がある。

@ 事前の防止 

A 事犯の早期発見

B 被害の最小化

C 被害の復旧

D 原因の究明

E 再発防止

また、金融サイバー犯罪に関する重要な考慮事項として、


@ 犯罪者が集団で充分な事前準備の上で短期集中的に攻撃してくる。

A 攻撃対象となる預金者は、多くの場合、技術的知識および犯罪手法に疎い。

B 犯罪者は、技術的セキュリティ・ホールのみでなく、預金者の習慣や心理をも計算して人的セキュリティ・ホールを狙い、犯罪手法を進歩させる。

C ネットワークを通じて犯罪行為の分業と協業が行なわれる。個別行為の違法性を問えない場合がある。また、法的整備は実態から遅れる。


これらの前提から、セキュリティ対策に係わる共通の必要条件として以下が求められる。

@ 経営トップ、取締役会を中心とした全行的態勢(固有名詞レベルで役割、権限、責任の明確化)の整備

A 顧客を含む全関係者と端末機、カード、ネットワーク、ホストシステムなど全エンティテイにおけるリスク種類、事犯発生頻度予測、被害予想額などの整理・更新

B リスク重要度に応じた対象リスクの優先付けと対策実行計画立案、実施

C 事犯の証跡を確保するための取引ログ、監視カメラなど証跡情報収集態勢の確立

D 行内関連部門、外部委託先、顧客、外部関連機関などとのコミュニケーション・ルートの確立と伝達内容の事前整理

E 顧客に対する啓蒙活動と継続的情報提供、ヘルプ態勢の整備

F 事犯発生時に備えたコンティジェンシー・プラン作成と訓練の実施

G 犯罪情報、関連技術情報、防御策情報の収集と共有化

などが必要であるが、全てに充分な対応ができる銀行は限られるのが現実であろう。

以下に、ATMシステムとネットバンキングに関連した、現状と対策事例を紹介する。



2.ATMシステム

金融庁および全銀協の調査結果(表1)によれば、偽造カードによる犯罪は件数、金額ともに大幅に減少している。盗難カードによる被害も微減傾向にある。一見して好ましい傾向と思えるが、偽造カードと盗難カードの減少傾向相違の原因は何であろう。カードと暗証番号が犯罪者に入手されたことに違いはない。各行は、様々な施策を展開してきた。類推容易な暗証番号を変更することを顧客に求め、引出し限度額を引き下げたことなどは効果があろう。しかし、調査対象期間である昨年度には、これら施策はまだ充分に実施される以前である。特定の犯罪グループが検挙されたことが偽造カード犯罪減少の理由でなかろうか?決め手となる対策は未だ不明である。横並びではなく、自行の取引特性に応じた対策強化が望まれる所以である。

(1) ATM犯罪の未然防止策はカードと暗証番号を守ること。

プラスティック・カード自体は、容易に入手できる。また、磁気ストライプの内容の読み取り、複写の方法は、20数年前に少年漫画雑誌に掲載され、多くの人の知るところである。一方、ICカードを偽造するには、特殊技術と高価な装置が必要であり、それが犯罪を抑止することになる。しかし、現実にはICカードと磁気ストライプを併用しているので、全面的な抑止実現はストライプ廃止まで先送りされる。磁気ストライプに、クレジット・カードのように暗号化や秘密キーを付加するなどが望まれよう。

暗証番号の漏洩防止については、類推困難な番号への変更、盗撮・盗み見防止、スキミング防止などが当面の対策となる。抜本的な対策としては、暗証番号などの記憶認証、特定パソコンなどの所持認証、指紋や静脈などの生体認証という3種認証方式のうち、複数を組み合わせる多重認証が効果的とされている。生体認証の導入が注目されているが、投資額の大きさ、標準化の方向(指静脈、掌静脈)、預金者の協力などの問題で、発行カード枚数に対する普及率はまだ低い。また、万一、生体情報が詐取された場合、その預金者は永遠に生体認証を利用できなくなるとの意見もある。実際、詐取する技術的手段は存在する。

カードを偽造する困難性はあるが、生体情報を認証機に入力する手段はカードである必要はない。現在のICカードATMは、ATM付属の読取装置で照合する方式であり、読取装置に生体認証データを入力するか、ATMからホストに照合確認シグナルを送信すれば認証が完了してしまう。ただ、このローカル認証という方式も、4年後にはホスト認証化される予定であるので、投資を考える際に留意が必要である。

他の暗証番号強化策として、絵合わせや合言葉などで二重化する方法もあるが、共同ATMネットワークを修正する必要があり、これも時間とコストを必要とする。それでも、生体認証よりは、手軽で安いだろう。暗証番号の頻繁な変更なども被害額を減らす効果があろう。

(2) 早期発見の対策としての異常取引検知システム

現状の導入事例は少ない。普及していない理由は3点ある。第一に、異常取引のケ−ス・データがないことである。欧米事例を参照するとしても、現金社会の日本とは余りに前提が異なる。第二に、全顧客共通の異常取引パターンはないことである。取引場所も時間帯も顧客によって異なるし、変化もする。顧客毎に取引パターンを事前登録することになるが、取引都度にモニタリングすることは、システム負荷増とコスト増を意味する。第三に、異常取引の可能性を察知しても、取引を中断・拒絶できるかという問題がある。携帯電話への通報、電子メール・郵便によるアラート・サービスが現状できる範囲であろう。

(3) 被害最小化対策としては1日あたり引出し上限額の設定、低額化

ただし、病気治療費、証券取引、不動産取引、入学金など高額引出しにおいては、窓口取引とならざるをえず、銀行側のコストだけでなく、顧客利便の低下は著しい。事前、事後に設定金額を簡便に変更できることが望ましいが、引出し額制限の効果を減衰させることにもなる。銀行が判断し強制することはできないので、結局は、顧客判断となろう。変更履歴の管理や変更時の顧客への再確認も必要であろう。

(4) 被害復旧策としては、補償・保険

現在、保険コストは全面的に銀行負担であるが、やがて金額や支払い条件に応じて顧客負担を検討する必要が出てこよう。50ドル・ルールが国際標準だとの意見もあるが、米国では決済口座に高額残高がなく、1日の引出し上限が数百ドルという事情を考えると、日本での適用は難しい。また、わが国では補償の金額・回数に制限を設けておらず、銀行側が不審を感じながらも補償を繰返す事例も聞く。拙速に走った預金者保護法の不備であり、早晩、制度改正が必要となるだろう。

(5) 原因究明・再発防止としては、証跡データの保全

防犯カメラが適切に設置運営されてないなどは論外である。今日では、動画データのデジタル保存が容易で、イメージデータの検索技術も進んでいる。ATMネットワークは、多くの関係システムが連携して運営されている。各システムは、適切に証跡データを保管し、必要に応じて即座に検索して関連データを提出しなくてはならない。預金カードとクレジット・カードの一体化やデビット・カードの普及を受けて、キャッシュカードを使用する場所や機器は、銀行以外であることが増える。その場合の責任範囲を明確にし、その運営管理状況の監査も銀行に望まれることとなろう。必要なセキュリティ対策を施さず、金融ネットワークの安全性にただ乗りするような参加者に対して金融業界としてペナルティを課す必要も出てこよう。また、警察とは一段の連携緊密化を図るべきである。


純経済合理性および技術論からすれば、ICカード化、生体認証化は、当面の効果を期待できない。暗証番号の厳格管理の方が、実現性と合わせて数段効果的である。しかし、長期的に考えれば、カードのIC化も生体認証も利用価値は高い。犯罪手口への対応だけでなく、リテール戦略の一環として考えるべきだろう。やがて、カードは携帯電話や携帯PCなどと一体化されよう。そのメディアに、どのようなサービスを搭載し、その際の本人確認と取引意思確認をどのような手順で行なうのか?また、本人確認手段のカードは銀行が顧客に貸与するのか、有料で販売し顧客所有とするのか、有効期限を設けるのかなども検討課題となるだろう。


3.ネットバンキング

金融庁調査(表1)によれば、昨年4月から12月におけるネットバンキング犯罪は、55件で68百万円の被害であった。一昨年から件数は微増している。一件あたり百万円強であり、総額もさしたる金額ではないので、保険で済ませる方が簡便で低コストという考えもあろう。しかし、ATMカード犯罪と異なる点は、使用機器が顧客サイドに設置された顧客のものであり、銀行側のセキュリティ対策が充分に施される保証がないことである。また、特定銀行の多数の顧客を対象に、短期間に集中攻撃される可能性が高い。日本では、ATMカード犯罪に比して発生頻度は少ないが、事犯発生時の被害規模は大きく、銀行のイメージダウンは大きいと考えるべきだろう。

ネットバンキング利用者の多くは、日本人としては比較的先進的なネット利用者である。それでも、フィッシング・メールに騙されて、大切な口座情報や暗証番号等をもらしてしまうという実状は、真剣に受け止める必要がある。まして最近では、携帯電話等の機能向上を活用した様々なネット・サービスが開発されている。その口座は定期預金など大口資金とリンクしている。携帯電話のセキュリティに懸念の残る現状と高齢者等インターネット・リテラシーの低い利用者が増えることを考えれば、ネット犯罪が増すことはあっても減ることはあるまい。

また、ブロードバンド・ユーザーは3千万人を越え、50万以上のPCがボットに汚染されているという調査結果がある。これらが、一斉に特定のネットバンキング・システムにアクセスすれば、機能麻痺は確実である。事実、わが国でも警察庁や日銀などがこうした攻撃を受けている。米国では、DoS攻撃を恐喝材料として、銀行に金銭を要求する犯罪が出ている。

(1) ネットバンキング犯罪の手口

現状では、顧客の口座番号と暗証番号を入手すれば、預金を詐取できる。代表的手口はフィッシングである。数十万、数百万のネット利用者を持つ銀行になりすまして不特定の数万、数十万人にメールを発信する。一定の確率で当該銀行のネット利用者が、そのメールを開封する。内容は、口座やカードの有効期限が過ぎた、システム障害が発生して早急に口座情報を復旧させたい、当該口座が犯罪に利用された形跡があるので確認したい、景品に当選したなどの文章である。本物と全く同じデザインの銀行ホームページがリンクされており、本人情報や暗証番号などを入力する画面が表示される。入力した情報は犯人のコンピューターに送信される仕組みである。最近では不法に入手した顧客リストを使って、特定の銀行顧客にメールを送るスピア・フィッシングという手口も出てきた。この場合、利用者がフィッシング・メールを本物と誤認する可能性が高くなる。

Farming(育成栽培)という方法も増加している。利用者のPCにキーロガーやトロイの木馬と呼ばれるようなスパイウェアをメールやCD−ROMに添付して送り込み、入力内容や操作履歴を記録する。利用者に気づかれない内に犯人のPCに伝送する。その後で、形跡を一切残さないようにプログラムなどを消去してしまう。対策としてキーボードではなく画面とマウスで暗証番号等を入力するソフト・キーボードがあるが、これを破るソフトも流通している。こうしたテクニックは非常な速度で進化しており、高度な研究開発能力を保有する集団もあると考えられる。彼らは、銀行の防御策を研究し、最も弱い所をつく。その手口が通用しなくなると、次の方法を考え出す。新しい手口は、一週間程度で世界各地に伝播する。銀行としては、手口最新情報の調査能力と防御技術力を備える必要があるが、迅速な対応力がなければ意味をなさない。

米国に本拠をおく国際的な調査会社ガートナーが発表した調査結果では、一昨年に米国で発生したフィッシング詐欺の被害額は27億ドル以上だという。特に、防御が弱いとされる中小銀行では、最大の経営課題となりつつある。もっとも、米国の場合は、預金詐取というよりは、マネロン用口座入手を目的とした口座番号、暗証番号の組織的詐取が多いようだ。詐取したIDは、マネロン用に高価で販売される。マネロンに不適当な場合は、低価格でネット販売されることもあるという。大きな犯罪マーケットと言えよう。

ここでは、フィッシング・メールの送信先であるアドレス・リスト、狙う銀行のものに酷似したフィッシング・メールや偽サイトの雛型、口座保有者の情報を盗むためのスパイウェアなどがインターネット上で売買されている。事実、一昨年の連続フィッシング事件において、偽サイトのサーバーには地域金融機関を含めた16行の邦銀偽サイト(URL)が残っていたそうである。犯罪用ソフトの闇ルートだけでなく、詐取金銭を受け取る架空口座や他人名義口座のマーケット、現金を引き出す人間、引き出した金銭をロンダリングする人間等々と分業化している。同じ組織ではないが、ネット上で役割を分担しつつ、それぞれが金銭的見返りを得るという、いかにもネットの特色を活かしたコラボレーションである。どの行為が犯罪を構成するのかは国によって異なるので摘発が難しい。留意すべきは金額に対する価値観の違いである。日本では10万円程度ならという意識かもしれないが、国によってはそれが年収に相当する場合もある。自動引落による決済が普及して、預金者の明細管理意識の薄い日本はターゲットとなりやすい。いつまでも日本語という言語障壁が守ってくれると期待してはいられない。マネロン対策と合わせてモニタリングする必要がある。



(2) 多くの銀行はネット・セキュリティ対策に消極的

先進行を除き、ネット犯罪に対する認識は極めて薄いのが実態である。地域金融機関の多くは、ネットバンキングの開発・運営をITベンダーに委託しており、業者が対応してくれるはずという意識もあるようだ。また、自行がネット犯罪の舞台になるのは遠い先という期待もある。警察庁に情報技術犯罪対策、サイバーテロ対策の専担組織があるが、銀行の協力姿勢は消極的なようである。

大手銀行やネット専業銀行などは、専担グループによって様々な防御策を手当てしている。それでも、破られるケースがあった。銀行としては、顧客が口座番号と暗証番号を盗まれては防ぎようがない。第二暗証や乱数表なども採用しているが、それとて万全ではない。どこまで手当てするかは、費用と顧客利便との兼ね合いであり、それを判断できるのは経営トップしかない。しかし、経営トップとしては、ネット犯罪は件数が少なく、自行が舞台になっていないことから、IT企業の便乗商法と疑っているのかも知れない。IT部門は、顧客や行内に対して脅威を強調できる立場にない。ここに、金融サイバー犯罪対策の大きな制約がある。

セキュリティは、投資効果の算定が難しく、万一の場合の損失見積と対策費用との比較となる。欧米の金融機関では、IT予算の3から10%がセキュリティ関連予算との調査結果がある。要は、経営戦略の中でセキュリティをどのように優先付けするかの問題である。泥縄式の対応や外部からの圧力で実施するのでは単なる経費で終わるが、営業戦略の一環として実施すれば、セキュリティをブランド・イメージ化することができる。更に、有料のセキュリティ・サービスも可能となるだろう。

(3) 完璧な防止策はなく、コスト・利便性とのバランスが重要

完全な未然防止策はない。攻撃側は日進月歩で新しい攻撃手段を開発する。イタチごっこを前提として態勢を整備するほかない。顧客に暗証番号や口座番号等の機密データを漏洩しないようにしてもらうことが第一だが、啓蒙活動にも限界がある。現在考えられる防止策として表2のようなものがあるが、以下4つが重要である。

@ 本人認証の強化

記憶認証として暗証番号の使い捨て方式ワンタイムパスワード(OTP)がある。多くのタイプがあるが、昨今ではディファクト・スタンダード化しつつある。高コストで顧客操作が複雑化するのが欠点である。また、ログイン時にOTP認証しても、その後で犯罪者に操作権限をジャックされた場合は無意味となる。資金移動操作時に再認証する必要があるだろう。所持認証としては、PCのMACアドレスや回線のIPアドレスなどを事前登録する方法がある。生体認証としては、PC付随の指紋認証などや専用認証機などが試行されている。また、総務省などの公的個人認証を金融界でも使えないか検討する動きもある。方向としては、生体ICカードを使ったOTPということになろう。

A サイト認証

真正の銀行サイトであることを証明し、顧客に偽サイトへの入力をさせない方法である。第三者による認証サービスを使うことになるが、ネットバンキング取引の90%以上が照会取引である。これに手数料が必要となるが、誰が負担するかという問題が出る。大手地方銀行などで透かし技術を使ったサイト認証サービスを導入するケースが増えている。採用理由は、セキュリティガードが固いこと、外付けなので導入が容易なこと、顧客操作が簡単なこと、費用が安いことなどである。早晩、この種のサービスは、銀行以外でも利用されるようになるだろう。最近では、EV−SSLによれうサイト認証が注目されているが、URLバーの色が変わるだけなので気付きにくいことと、まだ適用可能なPCが普及していないことが難である。

B リスクベース認証

取引パターン(金額、頻度、時間帯など)やサイト・アクセス状況など取引の振舞いをチェックし、異常取引を検知する。アラートを発したり、再認証を求めるなどして未然防止する。顧客特性に応じた対策レベルを提供できる。現在では、セキュリティ・ベンダー2社がソフト販売を推進している。

C 暗号化

顧客PCと銀行ホストとの間の全てのエンティティにおいて、リスク所在が想定される箇所のデータを暗号化する。導入の手間や費用の負担が大きい、サーバーへの負荷が大きいなどの欠点があったが、最近では既存システムに外付けすることで簡易に導入でき、ハードを活用することでシステム負荷増を抑え、低価格な暗号化ツールが出てきている。


表2のような防止策を実施すれば、ネット・サービスの操作性や利便性は劣化する。取引目的や取引頻度などが顧客によって大きく異なるので、画一的メニューでは顧客ニーズを充たせない。セキュリティ・レベルと利便性の組み合わせを数種類用意して顧客に選択してもらうしかあるまい。その際に、一部サービスを有料化する必要も出てこよう。金融機関が無料で安全を保証できる時代ではなくなりつつある。IT部門だけでなく営業部門を巻き込んで、経営判断すべきである。その為には、経営トップがセキュリティ前線に出て、ネット犯罪の動向や防止策に関心を持つとともに顧客ニーズを体感する必要がある。IT部門や外部専門家に丸投げすることは避けるべきだろう。

(4) コンティジェンシー体制の重要性

事犯が発生してしまった場合は、被害の最小化、早期復旧、原因究明、再発防止というリスク管理サイクルの原則に従うことになる。但し、攻撃側は短時間の内に攻撃を繰り返すので、初動態勢が重要である。コンティジェンシー手順は以下のようになろう。

@ 通常は、顧客がフィッシング・メール等に気づいて支店やコールセンターに通報してくる。受付部門は即座にセキュリティ担当チームに連絡する。

A 偽サイトやメール等を証拠として保全する。その内容を解析して偽サイトの存在場所やメール発信元の特定を行う。

B 偽サイトの運営ISPが判明すれば、ISPに当該サイトの削除を依頼する。多くは外国なので、英文メールでISPに直接依頼するか、警察庁経由で現地国警察に依頼する。

C 顧客への通知を行う。ホームページに掲示し、緊急を要する場合はマスコミに開示する方法もあろう。該当顧客が判る場合は、直接連絡して口座の凍結等を行う。

D 保全した証拠物件等を提出するなど捜査機関に協力する。

フィッシング犯罪に巻きこまれれば、国際的な動きをとらなくてはならない。また、その活動範囲はネット関連技術だけでなく、法的対応、マスコミ対策などと広く、営業部門も顧客対応を行う必要がある。偽サイトは短時間で姿を隠すので、事案発生から数時間が勝負である。日頃から社内外の協力体制を整備しておくことが最も重要である。個々の銀行が単独で全てに対応することは難しい。他行との協力や外部専門企業の利用などで体制整備せざるをえない。

最後に、情報セキュリティは金融ビジネスにとって根幹機能である。規制当局などの外部圧力に従うだけの単発的対策や低コストを目的に形式だけの施策を並べても実効的対策とならない。銀行業界と犯罪者集団の闘いという認識が必要であり、セキュリティを自行のサービス戦略、ブランド戦略の主要な柱とする前向きな捉え方をすべきであろう。