三井住友銀行とみずほ銀行は6月,フィッシング詐欺対策を強化することを相次ぎ明らかにした。両行はRSAセキュリティが提供するサービス「RSA FraudAction」を利用し,ネットバンキングのIDなどを詐取しようとするフィッシング・サイトを短時間で停止させる取り組みを始める。フィッシング・サイトが確認されると,RSAセキュリティがサイトを運営する事業者と交渉し,最短で5分,平均して5時間程度でサイト停止させる。これまでは両行の担当者が,海外の事業者などと直接交渉しなくてはならず,時間がかかっていた。
両行がRSA FraudActionを利用したのは,オンラインバンキングの利用者に特別なソフトを導入してもらう,といった手間が必要なく,フィッシング対策を強化できるため。みずほ銀行はこの6月に入ってから,RSA FraudActionの利用をすでに開始している。三井住友銀行は7月から利用する予定だ。同行のフィッシング・サイトは「過去に2度確認されている」(広報)という。個人情報を入力させ,預金を不正に移動させるなどの狙いがあったとみられる。
三井住友銀行はさらに,EV SSLサーバー証明書の採用も決めた。8月にもネットバンキングに導入する。EV SSL証明書は,証明書を発行する事業者が策定した世界共通ポリシーに準じて発行されるデジタル証明書である。従来のSSL証明書は,事業者によって発行や管理のポリシーが異なるため,信頼性にばらつきがあった。一方で,Windows Vistaに搭載されるInternet Explorer7は,EV SSL証明書を確認するとアドレス・バーを緑色に表示するなどの機能を備えているため,利用者が正しいサイトであることを確認しやすくなる点も評価した。みずほ銀行がEV SSL証明書を導入するかどうかは現時点では未定だが,「検証作業を進めている」(広報)という。
このところ,両行をはじめとする各金融機関は,ネットバンキングのセキュリティ対策を強化している。その背景には,金融庁の指導強化がある。今年1月に,「主要行等向けの総合的な監督指針」と「中小・地域金融機関向けの総合的な監督指針」を改正し,ネットバンキングやATMシステムのセキュリティ強化を進めることを強く求めた。フィッシング詐欺対策についても,「利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等,業務に応じた適切な不正防止策を講じているか」といった内容を,監督方針に盛り込んでいる。
