~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > 第2回:オンライン銀行は安全と利便性のバランスが難しい ―イーバンク銀行

インタビュー

第2回:オンライン銀行は安全と利便性のバランスが難しい ―イーバンク銀行

2009年09月01日

「フィッシング対策の現場から」のインタビュー第2回目は、オンライン銀行である「イーバンク銀行」にお願いした。最近のフィッシングは、巨大SNSなどのアカウントを不正入手するものが増えているが、従来からのクレジットカード番号やオンラインバンキングの暗証番号を入力させるものも多い。銀行や金融機関は対策の最前線に位置する企業ということになるが、その対策にはオンライン銀行ならではの難しさなどがあるようだ。

 

――本日はどうもありがとうございます。さっそくですが、最近のフィッシングサイトの動向についてお聞かせ願えますか。

 

イーバンク銀行:弊社に限っていえば、2008年2月に確認されたサイトを最後にフィッシングサイトによる被害はありません。セキュリティ対策やユーザー側のフィッシングサイトに対する認知も進んでいることもあり、狙われにくくなっているからだと思いますが、警視庁らとの協力によって、2008年12月に、9名のフィッシング詐欺グル―プが逮捕されたことも大きいでしょう。

 

その前に単独犯によるフィッシングサイトが摘発され犯人が逮捕されていますが、これは詐欺グループによる犯行の模倣犯と思われます。組織的に動いていた9名のグループが逮捕されてからは、新たなフィッシングサイトの被害は起きていません。セキュリティ対策が進んでいることと、犯人逮捕などが、実際の犯罪抑止になっているものと考えています。

 

ユーザの預金を守るためには

――イーバンク銀行のサイトではどのような対策がとられていますか。

 

イーバンク銀行:フィッシングサイトの目的は、IDやパスワードを入力させて不正に入手することだと思います。金融機関系のフィッシングサイトなら、これに暗証番号も加わります。最終的には口座の預金が狙いなのですが、その意味では、犯罪者の手口に本質的な違いや変化はありません。弊社のサイトでは、ID、パスワード、暗証番号を入力するような画面に、生年月日の認証フェーズを追加したり、ユーザーが希望すればワンタイムパスワードを入力させるようにしたりすることもできます。

 

――ワンタイムパスワードはどのように取得すればいいのですか?

 

イーバンク銀行:銀行によっては乱数表やワンタイムパスワード用のトークンを使っているところもありますが、弊社のワンタイムパスワードは、サーバーからユーザーのメールアドレスに送信するタイプのものです。ユーザーは、取引の決済や資金の移動のときに、登録済みの自分のメールアドレスに送られるワンタイムパスワードを入力しないと、取引を完了できません。

 

そして、このような追加認証は取引内容や金額によって必要になる場合もありますし、ユーザーが自分で追加したり取引制限の条件を設定したりできます。最初のフィッシングサイトが確認されてからすぐに、生年月日認証を加えたのですが、このときはフィッシングサイトもすぐに生年月日を入力させるように変化しイタチごっこのような状態もありました。現在は、暗証番号以外の認証を組み合わせることで、不正な送金や決済のハードルがかなり高くなっていると思います。

 

銀行からアカウント情報を訊ねることはない

――その他にとっている対策などはありますか。

 

イーバンク銀行:ホームページでの注意喚起を行ったり、セキュリティ対策の解説ページによる啓発活動を行ったりしています。技術的な対策としては、SSL対応のページもEV-SSLを導入し、ブラウザによってはアドレスバーの表示が緑色になるようにしています。フィッシングサイトがSSLを使うように偽装されていても見破る手立てになります。決済ができるPCをIPアドレスやドメイン名で制限することも可能です。

 

また、ログインユーザーごとの画面には、セキュリティサービスの利用状況(決済金額の上限、海外取引の制限など)を評価して、その結果に応じて、安全、危険といったセキュリティ強度を表示する機能も用意しています。7月27日からは、自分が決めた「合言葉」による認証も新たに導入しました。

 

ユーザーに対しては、銀行から、IDやパスワード、暗証番号などを訊ねることはないので、そのようなメールには騙されないようにしてほしいことを、改めて強調したいと思います。これは、オンライン銀行でも店舗のATMでも同じだと思います。

 

サービスとセキュリティのバランスは難しい

――逆にオンライン銀行ならではの苦労や対策というのはありますか。

 

イーバンク銀行:IPアドレス制限やワンタイムパスワードなどはオンラインならではの対策ということになりますが、オンライン銀行ならではというより、オンライン取引やインターネットバンキング全体に共通する対策といえます。

 

ただし、店舗がないというオンライン銀行ならではのサービスや利便性というのも重要と思っていますので、サービスとセキュリティのバランスが難しいと思っています。たとえば、ワンタイムパスワードなども一般の銀行や一部のネット銀行ではトークンを使ったサービスを提供していますが、弊社では、トークンを持ち歩かなければならないことと、紛失のリスクなど、ユーザーの利便性を考えてメールアドレスにワンタイムパスワードを送信する方法を採用しています。

 

さきほどの生年月日認証やIPアドレス制限、取引条件の設定なども、セキュリティ強度を考えたら、銀行側がある程度強制してしまってもよいという考え方もありますが、オンライン銀行の場合、それでサービスや顧客満足度が低下してしまうことの影響は、店舗がメインの銀行とは異なります。店舗がメインなら、インターネットバンキングの多少の使いづらさは容認されるかもしれませんが、オンライン銀行の場合、ユーザー側に選択肢を多く提供する必要があるのではないかと思っています。オンライン銀行のユーザーは、オンラインサービスの利用に伴うセキュリティ上のリスクをある程度理解していると期待されますし、オンライン銀行には実店舗窓口のような代替手段がないので、使い勝手に影響するようなセキュリティの設定については、むしろユーザーが自ら選択・設定できるようにしたほうがよいという考え方です。

 

どちらにしろ、サービスとセキュリティのバランスは難しい問題です。

 

難しいといえば、フィッシングサイトを閉鎖させる作業も、一刻も早く行わなければなりませんが、プロバイダの担当者に連絡をとりづらい場合があります。一般的には、偽造されている事実を伝えることによって、犯罪だと確認されたものは閉鎖されますが、その間にも被害が発生するかもしれないので、早期対応が重要となります。偽造が海外のサイトの場合、連絡窓口さえ不明なところもあります。実際にアルゼンチンにあるフィッシングサイトが発見されたときに、JPCERT/CCの協力を得て、発見から8時間で閉鎖できたときは、国際連携が可能な窓口の重要性を再認識しました。

 

――最後に、フィッシング対策協議会への要望などがありましたらお願いします。

 

イーバンク銀行:最近では、銀行や金融機関が攻撃者に直接狙われることは少なくなってきたように感じます。しかし、フィッシングや不正取得した口座情報の悪用の手口は、ECサイトなどでID、パスワードを入手し、電子マネーを経由して、匿名性を高めて換金するという方法に移ってきているとも聞きます。このような動向や、とくに他業界のID、パスワード盗難被害やセキュリティ対策の状況などの情報が共有できるとよいと思っています。

 

――本日はお忙しいところどうもありがとうございました。