見えないところで活躍中    ~ オンラインでの不正対策に役立つ位置情報 ~

※この記事は読者によって投稿されたユーザー投稿のため、編集部の見解や意向と異なる場合があります。また、編集部はこの内容について正確性を保証できません。

みなさんはネットバンキングを利用したことがありますか? ネットバンキングは24時間利用可能で手数料が安いなどの利点から、利用者が年々増加しています。
ところが、インターネットサービスの普及で便利になってゆく影では、ネットバンキングでの不正引き出しなどのオンライン犯罪が急増中なのです。
初期のオンライン犯罪は、IDとパスワードの流出や盗難/偽造カードによるものでした。その後、フィッシング詐欺、ファーミング詐欺、トロイの木馬、中間者攻撃、カード番号生成ソフトなどの洗練された高度な不正手法が次々と登場しています。
そこで、今回はネットバンキングを狙った犯罪と対策の現状について、海外と国内の事情を比較しつつお伝えします。

1.海外のネットバンキングを取り巻く不正被害の現状と対策

1-1.アメリカ:複数のセキュリティを導入。IP Geolocation技術*が普及

アメリカでも、オンライン犯罪は増加傾向にあり、EC業者やネットバンクは対策として複数のセキュリティツールを導入しています。特にネットバンキングでは、政府の連邦金融機関検査協議会が、従来のIDとパスワード以外の経路での認証(2要素認証)の導入を2006年末までに義務付けたことでセキュリティ対策が強化されました。

2要素認証として急速に普及した技術の一つがIP Geolocationです。米国トップのIP GeolocationプロバイダであるQuova社(2007年からサイバーエリアリサーチと提携)のデータを取り入れているのは、アメリカのトップ銀行5のうち4行、トップ100のうち91行に上ります。また、アメリカのトップ銀行500中300行は、Quova社のIP Geolocationを利用した認証ソリューションを導入しています。2007年のIP Geolocationの普及率は、オンラインサービスの市場全体では約40%、年間2500万ドル以上売り上げのあるオンラインサービス市場では約50%でした。

*IP Geolocationとは、IPアドレスとその利用地域やネットワーク接続環境などを関連付けたIPアドレスデータベースです。
ウェブサイトのユーザーが“どこからどうやって接続しているのか”という情報をご提供します。
インターネットのユーザビリティ向上やマーケティングを目的としたコンテンツ/広告の地域配信、コンプライアンスを目的とした配信地域制限、不正防止を目的とした不正アクセスブロックや不正検出など、多様な分野で利用されています。
IP Geolocation技術はシステムの「裏方」として動くため、エンドユーザーからはその存在を意識されないという特徴を持っています。これは「ユーザビリティの低下を招かない」というIP Geolocation技術の長所を示しているのですが、それゆえこの技術が世界中の様々なビジネスで既に利用されていることはあまり知られていません。利用目的は多岐に渡り、国内よりも海外での利用の方が進んでいるものも少なくありません。

1-2.ヨーロッパ:Chip-and-PINデバイス導入で効果的に不正対策

イギリスのネットバンキングの不正被害は、2004年に1220万ポンド(約30億円)、2005年に2320万ポンド(約56億円)、2006年には3350万ポンド(約81億円)と増加傾向にありました。2005年から2006年の被害増加の主因は、フィッシング詐欺が2005年の1,713件から2006年の14,156件に急増したためであろうと考えられています。

ところが、2007年上半期は2006年の同時期よりも70%近く不正被害が激減しました。イギリスの銀行共同支払決済機構APACSの発表によると、2007年上半期の被害額は750万ポンド(約18億円)で2006年の同時期の2240万ポンド(約54億円)よりも大幅な減少でした。APACSはこれが新しい不正検出と防止手法の導入や、そもそも2006年上半期に不正被害が異常に多かったことに起因すると見ています。

イギリスでは、Chip-and-PINの導入が進んでいます。Chip-and-PINとは、クレジットカードにICチップを内蔵し、決済時にPINを入力することによって本人以外の利用を防ぐ仕組みです。ICカードは従来の磁気テープよりも偽造が難しいこともあり、Chip-and-PIN導入後に国内での不正クレジットカード利用が減少傾向にあることから、オンライン不正対策として導入する動きが出ています。英コンピュータ犯罪調査センターによれば、2007年夏からイギリスの4大銀行のうち3行が、携帯型のChip-and-PINデバイスの導入によってオンラインでの本人確認を強化したということです。

一方、同じヨーロッパにあってもフランスでのオンライン不正対策は遅れています。イギリス同様にChip-and-PINデバイスの導入が進んでいる為、リアルな世界での不正が減り、フィッシングなどの手法で盗んだ情報をイーコマース取引に使うCNP(Card Not Present)犯罪の割合が増加しています。ところが、ワンタイムパスワードなどによる認証強化は、コストが高い事やユーザビリティの低下がユーザーに嫌われる事が原因で進んでいません。
現在、イーコマース市場が拡大していることもあり、損害は保険で賄っている業者が多いということですが、早急なセキュリティ強化が必要だといえそうです。

1-3.アジア:認証強化によって顧客信用もアップ

アジアでも2要素認証の導入が始まっています。シンガポール金融管理庁、香港金融管理局、マレーシア中央銀行であるBank Negara Malaysiaなどのアジアの政府機関は、認証強化のため2要素認証の導入を推奨しています。これを受けて導入された認証は、トークンやSMSによるワンタイムパスワードが多いということです。
2要素認証の導入は、ネットバンキングへの信用を増すという思わぬ効果も生んだようで、認証強化前よりも一件当たりの取引価格が増加したそうです。

2.日本の不正被害と対策の現状

2-1. 被害の傾向

日本でもネットバンキングの広まりとともにオンライン犯罪が増加傾向にあります。金融庁の2008年4月の発表によると、日本における最近のオンライン不正被害のうち、ネットバンキングにおける被害は2005年度に49件で被害額が1億500万円、2006年度に100件で被害額が1億1千万円でした。2007年度の4月から12月には191件で被害額は1億6千万円でした。被害額・件数共に、前年度を大幅に上回っており、急速な増加傾向にあることがわかります。このほかにも、表面化していない不正被害が数多くあると予想されます。

オンライン犯罪の中でも世界的に増加傾向にあるのがフィッシング詐欺ですが、日本でも対岸の火事では済まされなくなっています。2008年春には実際にイーバンク銀行やゆうちょ銀行のフィッシングサイトが出現しています。警察庁の調べによれば、2007年のオンライン犯罪の逮捕・書類送検(検挙)数は5,473件で、前年より1,048件増加しています。このうち不正アクセス事件の検挙件数は1442件で、中でもフィッシングの手口が前年比5.3倍の1157件と急増しました。

2-2. 不正対策の現状

このように日本でのオンライン不正は拡大傾向ですが、対策は進んでいるのでしょうか? 
2007年3月の金融庁の発表によると、ネットバンキング実施金融機関1,543行の99.7%が複数認証を導入しているということです。このうちワンタイムパスワードを導入しているのは約15%の236行で、パスワード発生機方式が6行、乱数表やメールによるものが230行でした。また、携帯電話を利用したパスワード発生システムや、ソフトウェアキーボードなども導入されています。その他では、フィッシング詐欺対策としてSecureBrainやVeriSignの各種サービスなどが普及しています。オンラインでのクレジットカード利用不正対策としては、3Dセキュアの導入が始まっています。
しかし、政府機関が認証強化を義務付けているアメリカなどと比較すると、今のところ直接的に認証強化について取り決めた法的対策がない日本は、オンライン取引におけるセキュリティ対策が遅れていることは否めません。

ただし、関係者の中では認証強化などの不正対策や被害者への対応の改善の必要性が訴えられています。2006年7月に日本銀行が発行した日銀レビューでは、日銀の公的な見解ではないとしながらも認証強化を推奨しています。複数の銀行で新規の不正対策ソリューションを導入したというニュースも聞かれるようになってきました。
また、ネットバンキングでの不正引き出しの被害増加を受け、金融機関がネット取引での不正引き出しも被害補償するという自主ルールを2008年2月に策定するなど、国内での不正対策もようやく動き始める兆しを見せています。

3.ネットバンキング不正対策におけるIP Geolocationの役割

認証強化の取り組みとして、日本では大手銀行を中心にワンタイムパスワードの導入が進んでいますが、これだけでは安全とはいえないようです。2007年4月に、2要素認証としてワンタイムパスワードトークンを導入していたオランダの銀行ABN Amroが、中間者攻撃による被害を受けたというニュースがありました。ウイルスメールを開いて感染したユーザーが偽の銀行サイトに誘導されて入力した情報が、直ちに真のサイトでの不正取引に使われていたのです。2006年7月には、シティバンク口座のワンタイムパスワードトークンも中間者攻撃によって被害をうけたことから、トークンは中間者攻撃を防ぐことはできない、との意見も聞かれます。
犯罪の高度化に加え、公衆無線LANの普及による外出先からの接続の増加も、多層認証などによるより強固なセキュリティソリューションの必要性に拍車を掛けています。

オンラインセキュリティ技術の『機能』として重要視されているのは:
○エンドユーザーに影響しない、シームレスで透過的な機能性
○他の技術やプラットフォームと容易に統合できること
○アドミニストレータが管理し易く、使いやすいこと
IP Geolocationは、これらの条件を満たす理想的なソリューションとして、海外のネットバンクやEC業者に広く導入されています。
IP Geolocation技術は、ユーザーの普段のインターネット接続環境や位置情報などを行動履歴として蓄積しておくことにより、通常から外れた行動があった場合にこれを検出します。これにより、なりすましや中間者攻撃などの不正を発見することが可能になります。

インターネットの匿名性を利用した犯罪は後を絶たず、犯罪者はセキュリティ対策を巧みにすり抜けていきます。万能なセキュリティ対策は存在しないといいますが、位置情報や接続環境の識別によって匿名性を低下させることができるIP Geolocationは、犯罪の防止に役立ちます。また、ユーザーに負荷をかけず新たなハードウェア導入の必要性もないことから、セキュリティ強化策としては優れたものと言えます。

IP Geolocation技術はアメリカを中心に普及しているものの、日本ではまだ始まったばかりです。ネットバンキングやオンライントレードを安心して利用できるインターネット社会の実現には、セキュリティ強化は重要な課題です。IP Geolocation技術はこの分野で大きな役割を果たすと考えられます。
現在、日本国内でIP Geolocationデータを作成しているのは、サイバーエリアリサーチのみです。不正対策分野では、不正を見逃さず誤判定をなくすためにもデータ精度が非常に重要です。国内唯一のIP Geolocationプロバイダであるサイバーエリアリサーチでは、専任の調査員が日々データ精度向上に努めています。

サイバーエリアリサーチ株式会社http://www.arearesearch.co.jp?id=wbt
アクセスユーザーの地域認識技術であるIP Geolocationデータベース「SURFPOINT」を提供する、国内オンリーワン企業です。

この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

インデックス
検索エンジンがWebページをデータベースに保存しているデータベース。データベース ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]