ネットバンキング・セキュリティ


日経新聞平成18年11月25日の記事です。銀行がネットバンキングの安全対策を強化し始めた。理由を被害が増え出した為として、幾つかの銀行の対策強化例を紹介しています。三井住友と三菱東京UFJのOTPや、みずほの32桁パスワード、りそなを始めとした被害補償や千葉銀行のソフト・キーボードなどを紹介して、対策手法をパスワード複雑化型、暗証番号ブロック型、補償充実型などと分類しています。

特段の具体的事犯がないのに、日経がこうした報道を行うのはなぜでしょう。(筆者は良い記事だと思っていますが。)記事では全銀協による被害状況調査結果に触れています。昨年10〜12月には16件だった事犯が、今年4〜6月には3件と減少したものの、7〜9月では11件と増えたとしています。とはいえ、社会的問題となるほどの、件数でも被害額ではありません。ただし、隠れた被害は、はるかに多いと考えられます。多くの銀行では、犯罪を立証する証拠が得られないまま被害を補償してしまい、警察に届け出ていないようです。ある銀行では、正規の顧客がネット取引をしている間に、ネットジャックされて顧客の取引2件を処理する間に、顧客の記憶にない取引が2件紛れ込んでいたそうです。顧客から通知を受けて、顧客宅に出向きPCログなどを分析したものの、不正取引2件がどのようにして入り込んだか不明だったそうです。被害額も極めて少額だったため、補償してそのままになってしまったそうです。

記事では預金者保護法がATMカード犯罪で銀行に被害補償を義務づけしているものの、ネット犯罪には何ら規定がないとしています。国会か金融庁に、ネット犯罪も補償を義務付けする動きがあるのかと思いますが、具体的な動きは聞いていません。ATMカードで一方的とも言える世論によって、不公正な義務を押し付けられた銀行界が、ネットバンキングでは先手を打っていることが功を奏しているのでしょう。何が不公正かというと、例えば、補償金額や補償回数に制限がないことです。同一人物が数度に渡って被害に遭い、銀行としては不審に思いながらも補償を繰り返している例を聞きます。数年前に、メガバンクがシステム障害を起こした際に、関西から大挙して上京して、当該銀行で取引を行った集団があったそうです。事務ミス等につけ込んで金品を受け取ろうとしたとされています。カードでもネットバンキングでも、制度を悪用する集団や個人は出てきます。日本では、善意で弱い立場の個人と融通が利かず自己中心的な金融機関という構図で常に論じられますが、一番利益を蒙るのはこうした人達のようです。

ネットバンキングのセキュリティ対策は大きく4つに分類されます。

第一が本人認証です。暗証番号だけでなく、生体認証などを含めた認証の多重化が必要とされています。ソフト・キーボードや番号の桁数増などは、暗証番号の入力方法を変えただけですので多重化とは言えません。最近では、ワンタイムパスワード(OTP)が注目されていますが、コストがかかるため一挙に普及とはいかない状況です。ただ、信金共同が採用を決めましたので、都銀や地銀でも同等以上の対策強化に踏み出さざるをえないでしょう。本人認証を多重化し、より高度な技術を採用しても、やがては破られます。本人確認を必要とするのは、銀行だけではありません。いずれは、業際的な本人認証の仕組みが必要になるでしょう。

第二は、サイト認証です。警察庁の調査によれば、フィッシングによるID詐取の件数が大分増えているようです。ただ、それが預金詐取に繋がった事犯は、今年はないとのことです。オークション詐欺等に利用されるか、悪用の形跡がないそうです。盗んだIDは転売されており、いずれ、一斉に使われる可能性が心配されています。サイト認証はその有効性が認められており、ネット先進国では当り前とされていますが、日本ではコストや使い勝手の問題から殆ど採用されていません。IT企業2社が低料金で利用者の操作負担のないサービスを提供していますが、これも、一挙に採用とはいかない状況です。静岡銀行がNTTコムウェアのフィッシュカットを11月から採用したことが、この記事にありました。多くの銀行でサイト認証を採用することが期待されます。

第三は、暗号化です。本人認証とサイト認証が済んでからジャックする手法が出回っています。電文を暗号化することで、ジャックを防止するか、ジャックされてもSSLのような標準暗号でなく、アルゴリズムが異なれば排除することができます。暗号化もレスポンスを劣化させ、費用と手間がかかる為に普及していませんが、最近では廉価で手軽かつ堅固な暗号化製品が出ています。

第四が、異例取引検知です。顧客PCのMACアドレスやルーターのIPアドレスは勿論、取引時間や取引パターンなどを分析して、異例取引の場合、本人に電話やメールで確認を取るものです。IP(インテリジェント・プロセス)エンジンなどの技術が進化すれば有効な対策になるでしょう。

これらが破られた場合に、被害補償があります。りそな銀行がいち早く補償制度を打ち出しました。今月から開始した千葉銀行の場合は、保険会社を使っているようです。保険料より直接的に補償してしまった方が手間も金額も楽かもしれませんが、透明性を確保するためには保険を使うべきでしょう。

ネットバンキングに関わる犯罪を危惧する人々やセキュリティ・ベンダーの悩みは、銀行経営陣の支援がないことです。対策強化を提案すると、「犯罪件数は?」「被害額は?」「行政の動きは?」などという質問ばかりで、判断する様子が見られないことが多いそうです。自行が舞台になる可能性はないと思っているのでしょう。それでいて何かあれば担当者が責められます。筆者はセキュリティ担当者に、「対策を実施しなかったのは経営判断だった。」という証拠を残しておくように奨めています。実際、現時点で対策に熱心な銀行の多くは、過去にフィッシング等の舞台になった銀行です。日本では言語障壁が海外からのネット犯罪を抑止しています。他国間資金移動もマネロン対策強化で難しくなっています。こうした動きの一方で、セキュリティ・リテラシーの低いユーザーも急増しています。最後は、一人一人の意識と防犯対策しかないというのが共通認識です。しかし、銀行も警察も、露骨な脅しめいた警告を発することができない悩みがあります。新聞などが、啓蒙記事を頻繁に流すことが必要です。今回の記事は、この面からは有益な記事なのですが、利用者の防犯意識を高める文言がないのが残念です。マスコミにとって、対策を講ずべきは銀行だけのようです。