インターネット上のサービスを拡充する金融機関が,なりすましや不正な送金への対策を強化している。特に米国では,不正対策の実施義務が金融機関以外にも広げられるなど,法規制がさらに強化されている。その動向を,米RSAセキュリティで対策製品のマーケティングを手がけるヨラム・ボレンスタイン氏に聞いた。
 写真●米RSAセキュリティのヨラム・ボレンスタイン シニアプロダクトマーケティング・マネージャー [画像のクリックで拡大表示] |
米国でオンライン・サービスのセキュリティ対策を義務付ける法制度に動きがあるそうだが,具体的には。
日本の金融庁にあたる,米連邦金融機関調査評議会(FFIEC)が2006年以降,法規制を強化している。2006年3月31日までに,2要素認証,つまり2種類の異なる認証技術を併用してなりすまし対策を実施することを金融機関に義務付けた。実際には間に合わなかった金融機関もいくつかあったようだが,2007年中にほとんどが対応を終えた。
2008年は,法規制の対象が広がる。「FACTA(Fair & Accurate Credit Transactions Act)」と呼ばれる新しい規制が登場しており,今年11月1日までの対応が求められている。この規制は,銀行や証券会社だけでなく,与信情報を扱うすべての企業を対象に,ID盗難対策を講じることを求めている。例えば,カードを発行している小売業や,決済代行をしている携帯電話事業者なども含まれるため,対象となる企業数は膨大だ。
米国の金融機関は日本に比べて,セキュリティ対策が進んでいる。それでもさらに対策を強化したり対象を広げたりする必要があるのか。
顧客である金融機関の担当者と話をすると,新たな手口などを懸念しているようだ。特に2008年に入ってからは,「トロイの木馬」,「マン・イン・ザ・ミドル攻撃」,そして「フォン・バンキング詐欺」を警戒する声をよく聞く。
この中で比較的新しいのがフォン・バンキング詐欺だ。インターネットで不正に入手した個人情報を使うのは,これまでと同じだ。異なるのは,不正な送金などをする場合に,テレフォン・バンキングのサービスを利用する点だ。
以前から知られた攻撃手法が現実的な脅威に
なぜ電話を使うのか。
オンライン・サービスのセキュリティ対策が強化され,不正をはたらきにくくなったためだ。現時点ではテレフォン・バンキングのほうが認証や手続きが甘く,個人情報を利用した不正をはたらきやすくなっていると考えているのだろう。犯罪者は,対策がもっとも甘いところを突いてくる。
トロイの木馬やマン・イン・ザ・ミドル攻撃は以前から知られている。なぜ今頃話題になっているのか。
トロイの木馬は,昔からある不正プログラムだが,これまで金融機関との間で話題になることはなかった。米国での被害が少なかったからだ。米国の金融機関がアジアなどに進出し,トロイの木馬の驚異をより現実的なものとして捉え始めている。マン・イン・ザ・ミドル攻撃については,よく知られた手法だが,ここへきて実際に被害が出始めているようだ。
金融機関は実店舗からオンライン・サービスにシフトしようとしている。しかし金融機関のセキュリティ対策が進むと,オンライン・サービスの使い勝手が低下してしまうのではないか。
オンライン・サービスを考える上で,コストやセキュリティと同様に,ユーザビリティは重要だ。セキュリティを強化することで,認証のための操作が複雑になるなどしてユーザービリティが低下することは避けるべきだ。
1つの方法としては,リスクに応じて認証方式を変えるやり方がある。RSAセキュリティでは「Adaptive Authentication」と呼んでいる技術だ。いつも厳重にユーザーを認証するのではなく,リスクが高い操作をする場合だけに厳重な認証を適用する。
例えば私は普段はニューヨークでオンライン・サービスを利用している。今は東京に来ているから,通常とは異なるネットワーク経由でサービスを利用する。その場合は,通常のIDとパスワードに加えて,ワインタイム・パスワードを組み合わせて,より厳重に認証する。このような手法を採ることで,必要以上に認証などの操作を求めることなく,ユーザービリティとセキュリティを両立できる。
