海外のネットバンキング/不正被害の現状と対策

ネットバンキングの不正アクセス対策とIP Geolcation

FFEIC（連邦金融機関検査協議会）は、2005年10月、アメリカ国内のネットバンキングに対し、新しいガイドラインを発表しました。これはネットバンキングに複数要素認証の導入を求めるという内容のものです。

当時、ネットバンキングはパスワードとユーザ名による認証のみ（一要素認証）でした。しかし、この状態では、認証情報が流出した場合や、悪意ある第三者の手に渡った場合、不正なログインを防ぐことはできません。この状況に対し、FFFEICは多要素認証の導入によるセキュリティの強化を求めました。

これをきっかけに認証要素のひとつとしてIP Geolocation技術が注目されました。IP Geolocaton技術は、アクセスユーザのIPアドレスからわかる位置情報・利用プロバイダ・公開プロキシサーバの利用有無などを元に不正アクセスのリスクを判定する「リスクベース認証」という技術に使われます。 IDやパスワードとは異なり、○か×か・黒か白かという切り分けではなく、不正のリスク、すなわち「どの程度グレーか」を考えるというアプローチです。

パスワード等の認証要素とは異なり、ユーザの能動的な行動がいらないこと、特殊な端末や機器を用意する必要がないこと等、他の認証要素と組み合わせて使うことに向いており、多くの金融機関で導入されました。

FFEICが発表したガイドラインは、2006年末までに複数要素認証の設置を義務付けるものでした。2007年時点で、アメリカのトップ5銀行のうち4行、トップ500のうち300行がIP Geolocation技術を利用した認証ソリューションを導入しています。

高度化する不正アクセス

では、近年のネットバンキング認証は鉄壁かと言うと、必ずしも楽観視できないというのが現状です。
2012年、メガバンクを含む国内3行のネットバンキングで、総額420万円が不正に引き出される被害が発生しました。多くの金融機関が認証の強化やユーザへの注意の呼びかけなどの対抗策を取り、注目を浴びました。

詐欺の手口を調査したMcAfeeによると正規にログインしたユーザに対してワンタイムパスワード（入金操作の際に入力を求められる、一時的に発行されるパスワード）を入力させるポップアップを表示させ、入力された情報とユーザのログイン情報を元に不正口座への送金を行ったとみられています。

欧米では同様の手口で2000億円規模の被害が出たとされています。ヨーロッパで大きな被害を出したウイルスは、更に高度な機能を備えており、ICカードなどの物理的な多要素認証すらもかいくぐってしまうものでした。

このように、正規の手続きを踏んでいるユーザと銀行のサーバとの通信に侵入して不正行為をはたらく攻撃を「中間者攻撃」と呼びます。送信者・受信者の双方とも一見して正常な通信が行われているように見えるため、検知するのが難しいという特徴があります。

ユーザ認証の時だけでなく、認証後も引き続きユーザのIPアドレス情報を取得し急な変化を検知することで、セッションの乗っ取り（セッションハイジャック）を発見することが可能です。
この技術は、中間者攻撃への対策手法の一つとして注目されています。
下図はネットバンキングのアクセスログのイメージ図です。下図のようにログイン後に急にIPアドレスやIPアドレスからわかる位置情報が変化した場合、セッションハイジャックの可能性ありと判断し、緊急的な措置を取ることが可能です。