狙われているのはネット銀行の預金だけではない！？ 不正アクセスを未然に防ぐ方法とは

注目のセキュリティベンチャー企業・カウリスのトップに訊く

インターネットが普及し、買い物や送金なども当たり前のようにスマートフォンで利用するようになっています。しかし、便利になった一方で、不正アクセスやそれにともなう不正利用、不正送金などの被害も深刻さを増しています。

ネットバンキングでの不正アクセスとは

インターネットバンキング（ネットバンキング）でも、各ネット銀行においても、常にセキュリティ対策はなされているとはいうものの、被害は後を絶ちません。

最近はセキュリティ対策の一環として「ワンタイムパスワード」などを利用するケースも多く、セキュリティのレベルが上がったかのようにも見えます。

ただ、現状でも悪質な動機を持つ者が銀行などになりすまし、ユーザーから情報を引き出してログインし、不正な操作や送金を行うというようなこともあります。こうした不正なアクセスに対して事前に対応することはできないのでしょうか。

そんななか、2018年1月に法人向けクラウド型不正アクセス検知サービス「FraudAlert（フロードアラート）」を提供する株式会社カウリスと株式会社電通国際情報サービス（ISID）は、セブン銀行がFraudAlertのネットバンキングへの活用に向けた実証実験を開始したと発表しました。

ネットバンキングのセキュリティを強化するためには何が必要か

では、ネットバンキングのセキュリティはどうすればさらに強化できるのでしょうか。カウリスの代表取締役社長である島津敦好氏は次のようにいいます。

「当社のサービスを利用していただくと、ユーザーのふるまいを追い、サービスにログインしようとしているのが本人なのか別人なのかを識別できるようになります。ログインしようとするのが本人であり、またパスワードを覚えていれば、操作ミスなどはあるにせよ、何度目かの試行でログインすることができるでしょう」

「一方、悪意を持った第三者が短時間に相当数のパスワードを試してログインをしようとする場合はどうでしょうか。ログインに成功する確率は極めて低くなり、ここでログインしようとしているのは本人ではないという可能性を考慮してもよいでしょう。こうすることで、従来のようなブラックリストだけではなく、本人である可能性が高いホワイトリストも形成することができるのです」

島津敦好 カウリス代表取締役社長

ポイントも狙われている！？

不正アクセスによる被害は銀行だけではありません。私たちの暮らしの中に根付いているポイント制度もその対象となっています。

たとえば、2017年9月22日に東京ガスが運営するガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスにより顧客情報が流出し、そのうち一部で不正にポイントが使用された疑いがあると報道されました。

銀行預金から不正に送金されると気づく方も多いでしょうが、日頃利用する頻度があまり高くないポイントは盲点といえるかもしれません。一方、不正アクセスや不正引き出しをする者からしてみれば、ポイントを商品に換え、それらを転売することで現金化も可能です。

つまり、ネットを活用したポイント制度やサービスを導入している事業者にとっても、不正アクセス問題は他人事ではないというわけです。

セキュリティのソリューションを買う時代からデータをシェアする時代に

このような事態に対して、顧客システムの保守や管理をするシステムインテグレーター（いわゆるSIer）などが、日々セキュリティ対応しているのではないか、という認識は正しくないのでしょうか。

カウリスの島津氏は続けます。

「SIerが新たな不正アクセスを発見したとして、それに対応するためのセキュリティシステムを顧客に対して要件定義し、構築するまでに1年近くかかるとしたらどうでしょうか。その間は十分なセキュリティ対応ができていないということになりかねません。したがって、事業運営者はセキュリティのソリューションを買うという時代から、お互いにデータを共有し、自分たちを守るのが最善ということになります」

こうしてみると、クラウドを活用し、様々な接点でのアクセスデータを積み上げていき、識別すること、またそのデータをリアルタイムで活用していくことがセキュリティの精度を上げていくことにつながりそうです。