都市銀行等に関するフィッシングの状況と先進的なフィッシング対策の取組みを進めていらっしゃる次の3行の活動について、情報の提供をいただきましたので、以下に御紹介します。
・三菱東京UFJ銀行
・みずほ銀行
・三井住友銀行
1.都市銀行とフィッシング
(1)日本の銀行関係のフィッシングの始まり
フィッシング詐欺については、2005年頃より日本人利用者を狙う事例が見られるようになりました。2005年3月にはみずほ銀行や当時のUFJ銀行をかたる日本語のフィッシング事例が報告されており、各行からもホームページ等を通じて注意喚起が行われました。しかしながら、その後しばらくは、銀行をかたるフィッシング事例は見受けられない状態が続きました。
(2)第2フェーズに入ったフィッシング対策
一方、2007年1月、金融庁の総合的な監督指針の一部改正において、インターネットバンキングに関する適切な本人認証方式の選択や、フィッシングに対して適切な不正防止策を講じていることの確認などの着眼点が監督指針に組み入れられました。その直後の2007年3月に、みずほ、三菱東京UFJ、三井住友などの銀行やグループ企業のブランド名をかたるキャッシングサービスと称し、氏名・住所や携帯電話番号等の情報を要求する事例が連続して出現しました。このキャッシングサービスをかたる事例は、「貸します詐欺」や闇金融などへの誘導の可能性が懸念されるものでした。当時すでに都市銀行ではフィッシングへの対策も講じられていましたが、これらの事象や金融庁の監督指針改正なども契機になって、更なるフィッシングに対する対策強化への取組みが行われました。同時に地方銀行においてもフィッシング対策の取組みが本格化しました。
技術的にも新たなフィッシング対策技術が市場に導入されてきました。例えば、2007年に、フィッシングサイトを閉鎖するサービス提供事業者が日本でもそのサービス提供を開始し、銀行などを中心に金融機関がその採用を始めました。また、EV SSL*1についても、2007年春より国内で証明書発行サービスが開始されました。2007年は銀行業界においてフィッシング対策の第2フェーズに入った年と見ることができます。
*1: EV SSLとは、電子証明書の一種類で、通常のSSLよりもサーバの真正性について高い信頼性を提供するため、サーバ証明書発行時にSSL発行時よりも厳格な、申請者及び当該サイトの実在証明審査が行われる。Microsoft Internet Explorer 7等では、「EV SSL」証明書を提供しているサーバにアクセスした際にアドレスバーが緑色で強調表示され、サイトを訪れたお客様にウェブサイトの信頼性が高いことを示す仕組みが導入されている。
(3)都市銀行とフィッシング
国内銀行のブランドをかたるフィッシングの傾向としては、口座数の多さからか都市銀行がターゲットにされる傾向にあります。一方、都市銀行の分類ではないものの、大規模な銀行であるゆうちょ銀行をかたるフィッシングが2008年3月より発生しました。ゆうちょ銀行の事例では、お客様の金銭的被害も出てしまい、犯人が逮捕されています。
以下、3行それぞれの特徴的なフィッシング対策の取組みを紹介します。
2.三菱東京UFJ銀行
(1)取組みの特徴
三菱東京UFJ銀行の個人向けインターネットバンキングで利用可能な三菱UFJダイレクト契約者数は、約1千万口座に達しており、インターネットバンキングとしては日本一の規模になると考えられます。同行のフィッシング対策の特徴は、各種メディアを駆使したお客様啓発活動を展開していること、電子署名付きメールの導入及びEV SSLの採用が挙げられます。
(2)多様なメディアによるお客様啓発
同行ホームページにおいては、フィッシングに関する注意喚起をはじめ、採用しているセキュリティ対策などを案内しており、最近では電子署名付きメール採用(2008年1月)やEV SSLの採用(2008年5月)による対策強化の内容を案内しています。ホームページ以外のメディアでの啓発活動にも力を入れており、同行のインターネットサービス申込時に啓発リーフレット(「三菱東京UFJダイレクトを悪用した詐欺にご注意ください」)を案内書とともに同封送付し、また、数年前より啓発リーフレット(「金融犯罪による被害を防ぐために」)を作成し店舗配布を行っています。さらに、電車やバス等交通機関内のステッカーや全国紙・地域新聞紙・無料情報誌等でのセキュリティに関する幅広い啓発活動に力を入れ、その一環としてインターネットバンキング利用時のIDやパスワードの管理等に関してお客様への注意喚起に努めています。
このほか、近時のインターネットバンキングを悪用した詐欺への防止策として、初めてサービスを申し込まれた高齢のお客様に契約の意思を再確認する等ITだけに頼らない総合的な対策を講じることにより、お客様のご預金を悪意の第三者からお守りしています。
出所:三菱東京UFJ銀行
図1 電車内で実施した広告
(3)電子署名付きメール、EV SSLの採用
三菱東京UFJ銀行では、電子署名付きメールを2008年1月より導入しました。この電子署名付きメールを導入したことにより、取引先からはメールの信頼性が確認でき安心感がある、という声を聞いています。
2008年5月からはEV SSLを採用し、最近では資金移動時の電子メールによる通知を開始するなど、お客様が安心してご利用いただけるインターネットバンキングのセキュリティ向上に取り組んでいます。
2.みずほ銀行
(1)取組みの特徴
みずほ銀行では、セキュリティ対策全般に取組みに加え、フィッシングに関しては従前よりホームページを通じた啓発活動等対策を行っており、最近では次のような対策強化が実施されています。
・2007年夏 専門事業者によるフィッシングサイト閉鎖サービスを採用
・2008年3月 EV SSL を導入、ワンタイムパスワード(トークン)を導入
・2008年6月 リスクベース認証を導入
同行のフィッシング対策の特徴としては次が挙げられます。
(1)事業者によるフィッシングサイト閉鎖サービスを国内でいち早く採用
(2)全てのお客様に対し、リスクベース認証と呼ばれる(利便性もさほど損なわれない)認証システムを採用し、さらに希望者には(コスト、利便性の負担は伴うがより安全性が高まる)ワンタイムパスワードも利用できるという2階層の対策手段を具備
(2)邦銀初のリスクベース認証
リスクベース認証は、邦銀で初めての採用事例となります。これはお客様全員が必ず使用するものとしています。本認証はインターネットバンキングにアクセスするパソコン環境やネットワーク環境などを分析し、普段と環境が異なると判断された場合、従来のログインパスワードによる認証に加えて「合言葉」による追加認証を行うものです。
お客様の利便性を損なわずに信頼性を高められるという特徴が、本認証方式を全てのお客様に適用・導入するに至った大きなポイントとなっています。
出所:みずほダイレクト[インターネットバンキング]のログイン時のセキュリティ強化について, みずほ銀行ホームページ, 2008
図2 合言葉による追加認証説明図
なお、今回の合言葉の登録と同時にお客様は、いくつかの画像の中から一つを選択登録することになっており、登録後にはログイン画面にそのお客様が登録した画像が表示されることになります。フィッシングサイトに導かれてしまった場合、フィッシングサイトではそのお客様が登録した画像は(簡単には)表示できないため、お客様が異常に気付きやすくなり、この面でのフィッシング対策が強化されることになります。
(3)ワンタイムパスワード
リスクベース認証の他に認証方法として、ワンタイムパスワードを利用することができます。ワンタイムパスワードによりさらに高度なセキュリティを期待することができますが、トークン発行手数料が有料であり、利用する場所にトークンを持ち歩く必要があるため、みずほ銀行ではこのサービスの利用はお客様の任意選択としています。
4.三井住友銀行
(1)取組みの特徴
三井住友銀行におけるフィッシング対策の特徴としては次が挙げられます。
(1)充実したホームページ啓発コンテンツ
(2)証明書付き電子メールの早期導入
(3)EV SSLを業界に先駆け導入(2007年6月発表)
(2)啓発コンテンツ誕生の経緯
同行のホームページにある啓発コンテンツ(「簡単やさしいセキュリティ教室CASE3そのメール本物ですか」)の内容は、フィッシング対策協議会関係者や有識者の間でも「良くできている」と評価されています。この啓発コンテンツの作成の経緯は次の通りです。
2005年6月頃にスパイウェアが問題になり、同行ではセキュリティ対策強化に取り組んでいました。フィッシングも従来からある不正を電子的にしたものであり、これらに共通なのは顧客が狙われている、という問題意識が上がり、それに対してどのように対策すべきかを社内で議論した結果、顧客の啓発が重要と認識されました。啓発ホームページのデザインには所管部門の人間、システム部門も加わり、さらにデザイン会社側にも技術が分かる人間が加わりました。犯罪の手口に照らし、対策によって守れる部分だけではなく、守れない部分も含めて漏れなく判り易く伝えきるという方針のもと、全体ストーリや、記載すべきポイントを全て銀行側で整理・吟味のうえ作成し、それから具体的検討デザインにはチーム全体で取り組みました。
(3)証明書付き電子メールの早期導入
三井住友銀行では、証明書付き電子メールを2006年5月より導入しました。証明書付き電子メールを発信メールの全てに適用しているのは金融機関でもまだありません。このメールシステムを導入してからは、お客様より「紛らわしいメールが出回った」というような問い合わせが寄せられた場合でも、証明書があるか確認していただければ白黒がはっきりするので問合せ対応も簡潔になるという効果もあることが分かりました。証明書付きメール導入によって顧客が戸惑うというような混乱はありませんでした。
(4)EV SSLの採用
三井住友銀行は、EV SSLを業界に先駆け導入しました(2007年6月発表)。この仕組みが出る前より、(認証局やマイクロソフト等)ベンダに、正しいサイトでは目立つような表示をするようにして欲しいと要求をしていました。EV SSLの仕組みは当初より望んでいたものでありMicrosoft Internet Explorer 7 が普及するのは間違いないと予測し、直ぐに採用することを決定したものです。
(5)フィッシングサイト閉鎖サービスの採用
フィッシング強化対策としてEV SSLの採用と共に、フィッシングサイトを閉鎖するサービスも提供事業者より導入することにしました。フィッシング詐欺対策は、「電子メールやサイトの真偽を判り易く判別する手段を提供し、お客様に騙されないように注意していただく」ということが基本となりますが、このサービスはフィッシングサイトを発見した際、お客様の対策とは関係なく、銀行として能動的にアクションを取れる対策となることが採用のポイントとなっています。
そのときの説明資料を図3(参考1:フィッシング詐欺と対策)に示します。
出所:ニュースリリース「フィッシング詐欺対策強化について」、三井住友銀行、平成2007年6月12日
図3 フィッシング詐欺と対策
緑の網掛け部分が2007年6月12日の強化策発表での強化ポイントにあたります。電子署名付き電子メールは2006年5月22日より導入済みのものです。採用したフィッシングサイトを閉鎖するサービスは、お客様側での対応が不要である、ということにもメリットがあると考えています。
5.まとめ
都市銀行は、顧客規模が大きいがゆえにフィッシングのターゲットになりやすいと考えられます。それ故に積極的なフィッシング対策への取組みが望まれます。今回ご紹介したどの銀行におかれても、より安全で、顧客に望ましい対策は如何にあるべきかを考えられて取り組まれていることが伝わってきます。
セキュリティは、利便性と信頼性のトレードオフと言われることがあります。ワンタイムパスワードが端的な例で、安全性が高まるというメリットの反面、手間やコストがかかるというデメリットがあり、その採否を顧客の選択にゆだねるという対応となっている場合もよく見かけます。トレードオフの解決の新たなアプローチとして、みずほ銀行において利便性をあまりそこなわず信頼性向上を目的としたリスクベース認証が邦銀で初めて採用され運用が始まっており、その効果や評価も注目されます。
フィッシング詐欺による被害を未然に防ぐためには、銀行などサービスを提供している事業者の努力が必要です。また、サービスの利用者もフィッシング被害に遭わないための対策を理解し、実行していくことが重要です。サービス利用者におけるフィッシング対策については、以下の文書をご覧ください。
(参考) フィッシング対策ガイドライン
2.消費者におけるフィッシング詐欺対策
http://www.antiphishing.jp/information/information258.html
以上