ネットバンキング犯罪(金融庁の被害状況調査)



金融庁は、6月末時点でのカードやネットバンキングによる犯罪被害状況の調査結果を9月5日に公表しました。http://www.fsa.go.jp/news/19/ginkou/20070905-2.html

全銀協が8月23日付で会員銀行からのアンケート結果を公表していますが、それに信金・信組など全銀協非会員金融機関の被害を合わせたのが金融庁資料なのでしょう。偽造カードによる被害は急速に減りました。盗難カード被害は減少傾向にはありますが、まだ4−6月で1123件もあります。件数は口座名義人単位ですから、多くの人が暗証番号つきでカードを盗まれているということです。問題はネットバンキングに移りつつあるようです。日経新聞の平成19年9月17日号が、ネットバンキング不正引出被害が6.8倍に急増したとの見出しで報道しています。「また、適当な分母を使って大げさな見出しをつけたな。」と思いながら、金融庁資料を確認しました。今年の4−6月での被害件数は68件、被害額86百万円です。昨年同時期は、10件で30百万円ですから、確かに大巾増です。ある銀行で被害が続いているとは聞いていましたが、それにしても増えたという印象です。金融庁資料に、「特に19年度分については今後増加する可能性がある。」と注釈(ネット関連に限ってはいない。)があるのが不気味です。

68件被害の内18件は原因調査中で、49件について銀行が既に補償しています。補償を拒否するような顧客側に重大な過失があるケースは1件だけです。一般的に、家族や職場の仲間などによるなりすましが多いのですが、それは顧客PCのアクセス・ログや銀行側のログを見ればおよそ判りますので、補償した49件では他人による犯罪を否定できないのでしょう。手口が公表されていないので何とも言えませんが、日経記事ではフィッシング詐欺が目立つとあります。記者が金融庁担当官に確認してのことなのかは不明ですが、単純ですが大量のフィッシング・メールが流布されたのは事実です。スパイウェアを使う手口も増えているそうです。まだ、被害者が少数で振込先事前登録や振込上限額設定などにより被害額を抑制し、銀行が補償することが多いので、大きな社会問題にはなっていませんが、注意を要することは確かです。認証データを大量に盗聴されたり、DBを不正コピーされての犯罪が起きたら、大変な騒ぎとなってしまいます。

現在のように単純手口である間は、本人認証とサイト認証を強固にすることが対策となります。そこで、OTPや第3者によるサイト認証を採用する銀行が増えています。特に、パスワードの堅確性を高めるためにOTPを採用することが多くなっています。筆者もOTPは万全ではないものの、かなり効果的と思っておったのですが、気になる動きが出てきました。例えば、三菱東京UFJ銀行は、以前から大規模なOTPの実用実験を行っています。それでも公式導入に踏み切っていません。それはOTPトークンに限界があるからでしょう。トークンは所有物照合ですから、他人でも簡単になりすましできます。トークンデバイスに生体認証機能をつければ良いとする案もありますが、それなら生体認証だけか記憶照合との組合せにする方が使い勝手もコスト効率も良いとなります。問題は多重認証の実効性です。専門家によると多重認証は必ずしもセキュリティ強度をあげることにならないと言うのです。例えば、生体認証の本人通過率を100%にすると他人通過率も上がってしまうので、一定の本人拒否率を受容しなくてはなりません。それは困りますから、記憶認証など他の方法と併用することになります。生体認証と記憶認証をOR条件で確認すれば、脆弱な手法のリスク確率となります。であれば、現在のパスワードだけと何が違うのか?生体認証ATMカードと同じことで、表玄関を戸締りして窓は開けっ放しです。では、AND条件にしたらどうか。筆者は、強度が上がると思っていたのですが、他人排除率だけでなく本人拒否率も上げることになります。すると救済策として別の認証方法を付加するでしょう。その場合は前2手法をANDで3番目の所有物認証などの手法をORにするでしょう。3番目の手法の脆弱性が、利便性を犠牲にしながら折角複雑にした認証方法の強度を弱めてしまいます。どうも、自分は、セキュリティ・ベンダーのシナリオに乗せられたのかも知れないと思うようになりました。

そんな中で先週、HSBCがOTPを導入しないと発表しました。公的機関がOTPを推奨する英国で、実効性とユーザビリティを理由に、OTPではなくリスクベース認証と顧客啓蒙強化でセキュリティ対策を推進すると発表したのです。勇気ある決断で、冷静な担当部門と経営者の理解があるのでしょう。日本ではマスコミがOTPを導入すれば安全という論調を展開すると、自分では調査も判断もしないで追随します。セキュリティに関しては、単発的な施策を都度対応で実施していては、効果もコストも管理できません。全体を俯瞰して、優先順位をつけ、総枠予算の中で資源配分を行い、万が一に備えた対応策を準備し、事案が起きた(或いはそのリスクが高まった)際に迅速な対応を取り、それでも残るリスクを受け入れるか保険をかけるしかありません。そのリスク管理を他人の判断に頼る訳にはいかない筈です。