ネット銀行は「不正送金」とどう戦うか？ 最新セキュリティ事情とは

松原理・じぶん銀行取締役

■急増する不正送金と戦うネット銀行

インターネットバンキング（以下、ネットバンキング）の利用者が急速に拡大している。7割の人が主に「口座情報の照会・明細確認」「振込」などで利用しているという。

全国銀行協会の調べによると、月1回以上の利用頻度は銀行窓口が2割強であるのに対して、ネットバンキングは4割強と利用頻度が高いチャネルになっている。

ところがそのニーズの高まりに伴い、リスクも高まっている。

サイバー攻撃が年々増加していて、最近では日本年金機構から125万件の個人情報が流出、東京商工会議所から最大1万2000件の会員情報が流出するなど大きな事件が続いている。

ターゲットは大企業や官公庁だけではない。ネットバンキング利用者のパソコンをマルウェア（ウイルスはマルウェアの一種）に感染させるなどして、ネットバンキングの契約番号やパスワードを盗み取り、預金を別の口座に不正に移し替える事件は、昨年1年間で1876件、被害総額は約30億円に急増。1件当たりの平均被害額は約155万円となっており、その手口も年々悪質、巧妙化している。

邦銀初となる、トランザクション認証機能をスマートフォンの銀行取引アプリに組み込んだ認証を6月から展開しているじぶん銀行に最新セキュリティ事情について話を聞いた。

「ネットバンキングを使わない理由などを調査すると、セキュリティ面での不安が多い。この不安をいかに解消するかが、ネットバンキングの普及促進の大きな課題となっていると考えています」と語るのは松原理・じぶん銀行取締役だ。

主要な銀行のネットバンキング取引では、二要素認証を行っている。二要素認証とは、利用者が記憶しているパスワードと、契約者カードなどの複製しにくいものに記載された契約番号や乱数表を2つ合わせて使用することでセキュリティを高める方法。たとえば、契約番号とパスワードで取引画面に入り、乱数表やワンタイムパスワード（1回限りのパスワード）などをつかって、取引を完了させるという仕組みだ。

「二要素認証だけでは、防げない不正送金手口が出てきています。利用者がマルウェアに感染したパソコンでネットバンキングにアクセスするとニセの画面が立ち上がり、その裏側に隠れてマルウェアが勝手に振り込み操作を行い、利用者にはワンタイムパスワードの入力だけをうながし、パスワードを入力した途端に不正送金される事件が起きています。また海外では、利用者がネットバンキングで振込内容を入力した後、マルウェアに振込内容を改ざんされ、知らずにパスワードを入力すると別の口座に不正送金されてしまうという事件も起きています」（松原取締役）

■邦銀初の「スマホ認証サービス」とは

こうした不正送金被害を防ぐために最近では一部の銀行がパソコンとスマホなどを組み合わせた複数の端末による認証（二経路認証）を行っている。しかし、これもまた、二経路とも攻撃されれば、不正送金を完全に防ぐことはできない。

「確認画面となる2つ目の経路も攻撃（改ざん）された場合は、二経路認証を使ったとしても、不正送金に気づくことができません」（松原取締役）

一方で、セキュリティを強化すればするほど、利用に手間がかかり、利便性が失われていく。それを解消したのがじぶん銀行だ。2015年6月、じぶん銀行は、安全性が極めて高い「トランザクション認証」という新しいセキュリティ機能を、スマホの銀行取引アプリに組み込んで安全性と利便性を両立させた邦銀初の「スマホ認証サービス」の提供を開始した。このサービスによって、スマホアプリ1つで不正送金を防止し、高いセキュリティと使いやすさを実現している。

「じぶん銀行ではアプリそのものの強固なセキュリティを基盤に、「ATMロック」、「インターネットバンキングロック」などのセキュリティサービスを提供してまいりましたが、他行における不正送金被害が増加している環境をかんがみ、従来のセキュリティ対策に加えた認証の高度化を検討し、トランザクション認証の導入を決定しました」（松原取締役）

実はじぶん銀行以外にも「トランザクション認証」を導入した銀行はある。しかしそのサービスでは専用の認証機器を所持する必要があるとともに、認証のためのワンタイムパスワードを利用者が生成して入力する必要がある。一方、じぶん銀行の「スマホ認証サービス」は認証機器もワンタイムパスワードの入力も不要。つまり、スマホアプリからの取引の場合、高い安全性を確保しながら、取引内容の入力から承認までスマホアプリ1つで完結することができる。

「現状では、まだ二経路認証の二経路目（スマホ確認画面）が攻撃されるケースの発生を確認していませんが、理論上全く攻撃できないわけではありません。便利な生活には必ずリスクがつきまといます。リスクを回避するには、『今大丈夫だから』ではなく、将来のリスクに備えた心構えが大切だと思います」（松原取締役）

利用者のセキュリティ意識（リテラシー）の向上とは別に、今後もじぶん銀行としてどこまで利用者を守れるかを考えていくという。

■利用者の安全性と利便性を追求する

「じぶん銀行は三菱東京UFJ銀行と携帯電話サービスのauを展開するKDDIが合弁で設立した会社です。メガバンクの金融サービスにおけるセキュリティに対する豊富な知見と携帯電話キャリアが追求した利便性を同時に併せ持つ、日本で唯一のネット銀行です」（松原取締役）

一方、じぶん銀行は、三菱UFJフィナンシャルグループとの提携で外貨預金、仕組預金、FX、カードローンなど幅広い金融商品をラインナップするとともに、すべての取引をスマホアプリで完結できる総合型ネット銀行として利便性を追求してきた。

世界的に見ても、スマートフォンをメインチャネルとした銀行は珍しく、その実力はアジア地区の銀行専門誌「The Asian Banker」から「ベスト・ビジネス・モデル賞」を2015年3月に受賞している。

じぶん銀行はこれからも利用者の安全性と利便性を徹底的に追求していくという。

※「トランザクション認証」とは
「取引内容を含む認証」という意味で、取引内容を含むワンタイムパスワードを生成して、取引内容の改ざんが無いかを銀行システム側で検証することで、不正送金を防ぐことができる仕組みだ。たとえば、じぶん銀行の「スマホ認証」では、利用者がパソコンやスマホから振込内容を入力し、同認証を実行すると、まず、銀行システム側で受けとった正しい振込内容に基づいたワンタイムパスワードが生成される。次に銀行システムから送信された振込内容を利用者が確認すると同時にスマホのアプリ内で生成されるワンタイムパスワードと先のワンタイムパスワードを、銀行システムが突合して一致すれば取引が実行されるというものだ。途中で振込内容が改ざんされると、ワンタイムパスワードが一致しないため、取引はキャンセルされ実行されない。一方、振込先情報が書き換えられていれば、スマホの画面に表示された取引内容でチェックでき、自分の送金先や金額と違えばその取引をキャンセルできる。二重にも三重にもチェックできるのが「トランザクション認証」というわけだ。

（ジャーナリスト 松崎 隆司 尾崎三朗＝撮影）