ネット銀行を狙う不正送金の動向 ワンタイムパスワードの仕組みと課題

2015年4月28日8:36

ネット銀行を狙った不正送金の被害が拡大している。標的はメガバンクに加えて、地方銀行へと広がりを見せており、対策を行ってもすぐに犯罪者は裏を突いてくるという「いたちごっこ」の様相を呈している。さらに、個人口座だけでなく、法人口座も狙われており、その多くが中小企業のため、被害金額が大きければ、事業継続にも影響をおよぼしかねない状況にある。さらに銀行やクレジットカードなどの金融機関だけでなく、通販サイトも攻撃の対象にさらされるなど、問題は拡大する一方だ。

SBクリエイティブ ビジネス+IT事業室 松尾慎司

法人口座の不正送金は7.6倍に急拡大

ネット銀行を狙ったサイバー犯罪が拡大している。昨今のネット銀行を襲うサイバー犯罪の特徴は大きく2つある。1つは、標的の対象が、振込制限額の小さい個人口座から、扱う金額の大きい法人口座へとシフトしているということ。2つめは、都市銀行だけでなく、地方銀行や信金・信用組合にも拡大しているということだ。

警察庁の調査によれば、2013年下半期の個人口座の被害は11億1,800万円で、法人口座の被害額は7,500万円だった。これが2014年上半期には、個人口座の被害が12億8,000万円へと微増だったのに対し、法人口座の被害額は5億7,200万円まで急拡大した。

もちろん、こうした問題に、金融機関も手をこまねいているわけではない。従来から大手金融機関では、IDとパスワードを使ってログインしたあと、送金や重要情報の変更時には追加の認証が必要とされてきた。そこでよく用いられてきたのが、番号表と呼ばれる追加認証である。キャッシュカードの裏や専用カードに、番号が記載された表があり、追加認証時にその番号表の中の指定された数字を入力するというものだ。

さらに昨今では、1度だけ使い切りのワンタイムパスワードの利用を無償化したり、利用を推奨する金融機関も増えてきた。

顧客が被害にあった金融機関の推移と口座種別ごとの被害金額内訳(出典:2014年9月4日警視庁発表資料より作成)

顧客が被害にあった金融機関の推移と口座種別ごとの被害金額内訳(出典:2014年9月4日警視庁発表資料より作成)

認証の考え方の基本

ここで、認証の基本を少しおさらいしておこう。そもそも認証とは何だろうか。それは、そのサービスを利用する人が、利用者本人であることを示すためのものだ。一般に顔の見えないネットの世界では、リアル以上に認証が難しいとされる(昨今では振込詐欺が巧妙化しており、リアルのほうが安全とも言えないが…)。

この認証の方法は学問的に、大きく3つに分類され、この2つを組み合わせたものが「二要素認証」と呼ばれる。

まず、1つ目のカテゴリは「Something You Know」、すなわち「知っているもの」だ。もっともよく知られたIDとパスワードもこのカテゴリに分類される。本来、パスワードはその人自身しか知らない。しかし、たとえば数字だけの簡単なパスワードでは、総当たりであっさり見破られてしまう。そんな馬鹿なと思われる人が多いだろうが、たとえばiPhoneのロックパスワードの第1位は1234だ。

あとは非常に複雑なパスワードを設定していても、メールで「パスワードを変更してください」と偽のサイトに誘導し、パスワードを盗み取る手口がある。さらに複数のサービスでパスワードを「使いまわし」している場合、どこかのサイトで1度でもそのパスワードが流出してしまうと、それを使って他のサイトに攻撃をしかける「パスワードリスト型攻撃」が簡単に成功してしまう。

この問題では、たとえ自社のシステムがいかに高度なセキュリティ対策を実施していても、あっさりと破られてしまうことになる。

なお、今も一部で使われている「秘密の質問」もこのカテゴリに分類される。もちろん一定のセキュリティ効果はあるが、質問と答えが基本的には固定化しているため、一度漏えいしてしまうと何度でもアクセスできることになる。そのため、IDとパスワードに加えて、秘密の質問を提供している認証方法は、二要素認証とは呼ばれない。

2つ目は、「Something You Are」、すなわち「あなた自身」だ。わかりやすいのは生体認証だろう。指紋認証や静脈認証も虹彩認証などが該当する。本人に備わっているものでしか証明できないため、認証強度はもっとも高いとされる。

一方で、読み取るための専用の機器で高価になりがちなほか、精度の問題が起きる場合がある(たとえば、指紋認証の場合、指紋が薄くなって利用できなくなるケースなどもある)。ATMの一部で導入されたが、主に秘匿性が求められる建造物での利用や物理セキュリティでの利用が中心だろう。

最近では、アップルがiPhone 5S以降で指紋認証装置を標準搭載して注目を集めたが、すべての人がこれを持ち歩いているわけではないので、認証という大きな枠組みでみれば、まだまだ部分的な利用にとどまっている。

3つ目は、「Something You Have」、すなわち「所有物」によるものだ。その人だけが持っているもの、これはたとえば社員証や免許証などで本人を確認するようなものだ。ワンタイムパスワードのトークン(パスワードを表示する小型の機械)やキャッシュカード裏の番号表などが該当する。トークンやキャッシュカードを持っていなければ、本来、認証できないからだ。

しかし、番号表は固定化されているため、メモしたり、数字をすべて入力させるような詐欺サイトにひっかかってしまうと「知っているもの」になってしまう。そこで、最近では「やはり使い捨てできるワンタイムパスワードしかない」(セキュリティ関係者)と呼ばれる状況になった。

ワンタイムパスワードでも防げない攻撃が登場

では、ワンタイムパスワードはどのような仕組みで動作しているのだろうか。大きく分けて、2つの方式があると言われる。「時刻同期方式」と「チャレンジ&レスポンス方式」だ。

時刻同期方式は、その名の通り、時刻を活用する。まず、認証サーバとトークンで、時刻に基づいてパスワードを算出するための「共通の計算式」を用意しておく。トークン側では、ボタンが押されると、その時刻に有効なパスワードが表示される。サーバ側では、入力されたパスワードと、現在有効なワンタイムパスワードを照合して確認が行われる。

チャレンジ・レスポンス方式でも、認証サーバ側とトークンで「共通の計算式」を共有しておく。ここに意味のない文字列のチャレンジを放り込んで、その結果(=レスポンス)を得ることになる。番号表の認証をイメージしてもらえるとわかりやすいが、サーバ側がA列の3行目などと指定すると、その結果が番号表の記載されており、それを入力すると認証が完了する。サーバ側のチャレンジを毎回変更すればよいため、使い捨ての要件を満たすことができる。

では、なぜそもそもセキュリティ強度の高いワンタイムパスワードを金融機関や通販サイトは採用しなかったのだろうか。その理由は大きく2つある。

まず、ワンタイムパスワードを誰にでも利用してもらうためには、専用のトークンが必要になる。このコストがバカにならない。最近ではスマートフォン向けのアプリで提供される方法もあるが、それではスマートフォン利用者に限定されてしまうことになる。これまで多かったのは、安全性を高めたい人に有料でトークンを提供するという形だ。

もう1つの理由は利便性の問題だ。トークンという専用機器は紛失しやすく、また追加で持ち歩くのも大変だ。1分間で番号が変わってしまうため、入力中に番号が変わってしまうというのも、ITリテラシの低い人にはあまりやさしくない仕様と言えるだろう。

しかし、昨今のサイバー犯罪の高度化、高頻度化を受けて、無償でトークンを配布したり、ワンタイムパスワードを必須とする動きが活発化してきたのである。メガバンク三行の対応は以下の通りだ。

●三井住友銀行
トークン(パスワードカード)を無料配布
●みずほ銀行
トークンを有料配布、メール方式ワンタイムパスワードを無料提供
●三菱東京
UFJ銀行 iPhoneとAndroid向けにワンタイムパスワードアプリを無料提供
※ワンタイムパスワードを利用するタイミングは各行によって異なる。

では、ワンタイムパスワードを使えば絶対に安全か、というと残念ながらそうとは言えない。その1つが中間者攻撃と呼ばれる攻撃の台頭だ。この攻撃はその名の通り、「間」に入る攻撃だ。たとえば、人とブラウザの間に入る「マン・イン・ザ・ブラウザ攻撃(MITB攻撃)」ではまず、正規のユーザーの利用しているPCにウイルス感染し、ブラウザ上ではまるで正規のサイトのような不正サイトにアクセスさせる。次に、ユーザーが不正サイト上で、ワンタイムパスワードを入力するのと同時に、攻撃者はその裏で正規サイトにアクセスし、攻撃者の銀行口座に不正に振り込ませてしまう。

こうしたMITB攻撃のほか、攻撃者が無料の無線LANアクセスポイントを開放しておいてアクセス情報を盗み取る攻撃や、DNSキャッシュポイズニングのように、DNSサーバ(名前解決サーバ)を不正なサーバに置き換えて、不正なサイトを正規のサイトのように誘導する方法がある。

こうした中間者攻撃に対応するため、昨今では金融機関がセキュリティ対策ソフトを無料で配布することが増えてきた。物理トークンの無料配布よりも(コストの面で)ハードルが低いのもあって、ワンタイムパスワード以上に多くの金融機関で採用されているようだ。

MITB攻撃対策ソフトのメリットは、MITB対策に限らず、たとえばなりすましメールによって、フィッシングサイトへ誘導されそうになった場合でも、当該サイトが正規サイトであるかどうかが判断できることにある。そのため、銀行などのサービスとは非常に相性が良い。

MITB攻撃を受けたときの流れ

MITB攻撃を受けたときの流れ

銀行だけでなく、通販サイトも攻撃の対象に

攻撃者側も銀行やカード会社などに加えて、大手通販サイトを攻撃の対象に加えてきている。不正サイトに誘導し、クレジットカード情報を盗み取るケースだ。

スマートフォンの世界では、アップルがiPhone 5Sで指紋認証システムを導入したことを前述したが、グーグルもスマートフォンアプリでワンタイムパスワードを発行できる「グーグル認証システム」などを提供している。スマートフォン端末を「所有物」として、Gmailの二段階認証に利用できるほか、今ではEvernoteなどサードパーティのネットサービスでの認証方式としても利用できるよう、サービスを開放している。

Gmailの2段階認証では、これに加えて「リスクベース認証」も採用している。これはセキュリティを向上させる施策というよりは利便性を確保するための施策である。たとえば、同じブラウザでの利用については、追加の認証は必要ないが、異なる国や異なる環境からアクセスした場合には、追加の認証を必要とする。

1度きり、使い切りのワンタイムパスワードはパスワード問題の最終解とも言うべき優れた仕組みだが、物理的なトークンを発行するコストは、EC事業者などではとても負担できるものではない。

そうした中で、スマートフォンアプリを利用したワンタイムパスワードと(PC向けアプリを提供する事業者もいる)、利便性を高めるリスクベース認証の組み合わせは、通販サイトのように、利用者は頻繁に変わるものの、なるべく利用者の利用のブレーキとならず、セキュリティを確保する必要のあるケースには向いていると筆者個人は感じている。今後は利用されるケースも増えていくのではないだろうか。

いたちごっこの続く「認証」と「なりすまし」の問題。今後はマイナンバーの導入など、大きなテーマも控えている。残念ながらセキュリティに絶対はない。そうしたなかで、きちんと仕組みを理解している利用者とそうではない利用者では直面するリスクが大きく異なってくる。たとえば、みずほ銀行は2014年8月、ネットの不正送金について、5,000万円まで補償を行うと発表しているが、補償を行うには一定のセキュリティ対策を実施していることが条件だ。

もちろん企業が直面するリスクは、ネットのセキュリティ対策だけではないだろう。しかし、かつて日本語の壁に守られていた日本のネットサービスは、今やその壁は低くなり、投資に見合った成果が得られる場合は積極的な攻撃の対象となるケースも増えてきた。自社のサービスが停止に追い込まれたり、自社の大切な資産や情報が盗み取られることのないよう考えを新たにしてほしい。本稿が、企業や一消費者のリスク対策の一助になれば幸いである。

関連記事

ページ上部へ戻る