サイバー金融犯罪対策を「プロの目線」で評価することの価値

ラックの金融犯罪対策センター（Financial Crime Control Center：以下、FC3）の活動が本格的にスタートして、約1年が経ちました。私たちFC3は、金融サービスや決済サービスを標的として、利用者の資金窃取を目論む「サイバー金融犯罪」による被害の低減・撲滅を通じて、安心・安全な金融サービス環境を実現することをビジョンとして掲げ、活動しています。

昨年のLAC WATCH記事でもお知らせした通り、オンライン決済サービスの不正利用や、認証情報を窃取しようとするフィッシング詐欺など、犯罪者たちの活動はますます増加の一途をたどるばかりです。実際に手元にもフィッシング詐欺と思われるメールがしばしば送られてきており、その数も年々増加している印象を受けます。以前に比べるとフィッシングメールの文面も自然な日本語に変わってきており、「一般の人であれば、この詐欺に騙されてしまうのもやむを得ないだろう」と感じることも少なくありません。

今回は、私たちFC3が、金融サービス・決済サービスの提供事業者に対して提供するサービスの価値や位置づけについてお伝えしていきます。

サービス提供事業者による対策の現状と、増加する被害

金融サービスや決済サービスを提供する事業者の立場として、そのサービスの利用者が不正利用などのサイバー金融犯罪の被害者とならないよう、慎重にサービス内容を検討し、適切なセキュリティ対策を講じていく必要があります。しかしながらサイバー金融犯罪の分野は、サイバーセキュリティの世界とは異なります。

例えば銀行などの金融業界をとってみても、教科書のようなスタンダードなガイドラインが確立されている状況にないため、各業種・各事業者がそれぞれ独自に対策を検討・実施しているケースが多いと考えられます。

様々なオンラインサービスが次々と登場してくる一方、利用者を保護するための網羅的なスタンダードが存在しない状況では、それぞれのサービス提供事業者が独自に講じるセキュリティ対策のレベルは差が生じます。

フィッシング対策協議会 統計データ

またフィッシング対策協議会の統計によれば、2021年の1年間で協議会に寄せられたフィッシングサイトの報告件数は、2年間で約10倍、4年間では実に約50倍にも達しているとのこと。さらに、悪用される企業やサービスのブランドの種類も増え続け、様々なオンラインサービスが犯罪者たちから標的にされていることが読み取れます。

もちろん犯罪者の立場からすると、セキュリティ対策の"甘い"サービスを次々と探し出し、それを狙って不正利用などの犯行を試みるので、フィッシング対策協議会の統計データは、こういった犯罪者たちの活動を裏付ける結果といえるでしょう。

活発な活動を続ける犯罪者たち

実際に不正利用をはたらくのは、高度に組織化・分業化されたプロの犯罪者集団であり、用いられる犯罪手口も複雑化・巧妙化を続けています。どのサービスが犯罪のターゲットとして狙いやすく、セキュリティ対策を突破して犯行目的である"金儲け"を達成できるのか、彼ら犯罪者は常日頃から入念な調査・研究を欠かしません。これまで不正利用被害の発生していなかったサービスであっても、ある日とつぜんセキュリティ対策を突破されて被害が生じるケースを、私たちは数多く目の当たりにしてきました。

不正な資金移動の新たな手口

その実例をひとつ挙げてみましょう。

ある金融サービスでは、利用者が保有している銀行口座へ資金を移動する機能を提供しており、資金の移動先である銀行口座の名義が、サービスの利用者と同一であることが条件とされていました。この「名義が同一である」という条件が、不正利用を食い止めるために一定の機能を果たしていましたが、ある日このサービスを狙ったフィッシングが発生し、利用者の資金を犯罪者に窃取されてしまう被害が生じました。

まず犯罪者は、フィッシングで盗んだ被害者の認証情報を使って正規サービスにログインし、利用者の住所など必要な情報を入手します。次に、盗み出した情報から身分証を偽造して、被害者の名義を使って銀行口座を勝手に（不正に）開設します。この銀行口座は、被害者であるサービス利用者と同じ名義で開設されているため、上述した「銀行口座への資金移動は、同一名義の場合のみ」という条件をクリアすることができ、犯罪者はまんまと資金を盗むことに成功した、というわけです。

この手口を考案した犯罪者が非常に狡猾であることは言うまでもありませんが、eKYC^※といった新たなサービスの登場によって、オンライン手続だけで銀行口座が開設できるようになったことも一因であると考えられます。オンラインサービスをより便利に、且つ安全に利用するための技術の発展を逆手に取られてしまったという、たいへん皮肉な結果であるとも言えます。

※ eKYC：electronic Know Your Customer。オンライン身元確認の一種。

オンラインサービスを不正利用から守るには

オンラインサービスを不正利用する犯罪者から利用者を守るための対策として中心に据えるべきポイントは、やはり認証セキュリティの強化です。しかしながら、強固なセキュリティを実現できると考えられてきたワンタイムパスワードも、これを回避する方法が犯罪者たちによって考案された結果として、被害が発生してしまったケースが既に確認されています。

ワンタイムパスワードすら回避するリアルタイムフィッシング

このように巧妙に仕組まれた犯罪手口からサービスの利用者を守るためには、認証セキュリティの強化だけではなく、たとえば以下のような観点で、多層的・多面的に対策を講じて行く必要があります。

• 取引状況をモニタリングして疑わしいものを見つけ出す
• 取引の回数や金額に上限を設け、万一の被害を最小限に抑える
• サービスの利用者に対して注意喚起・啓発活動を行う

とはいうものの、上述のように「サイバー金融犯罪対策のスタンダード」がしっかりと確立されていない状況で、どのような対策を講じるのがベストであるか判断するのは難しいでしょう。そのためには、実際の犯罪手口を幅広く理解した上で、現状のセキュリティ対策がどのように突破される恐れがあるのかのリスクを把握し、被害を防ぐ対応策を具体的にイメージできる知識と実務経験が欠かせません。残念ながら、この領域のスキルや経験を保有する人材はIT業界・セキュリティ業界の中でも少数であり、金融サービス・決済サービスを提供している事業者が自らこの課題をクリアするのは、なかなかに高いハードルなのではないでしょうか。

"プロの目線"でセキュリティ対策を評価することの意味

私たちFC3は、利用者にとって安心・安全なサービスの実現を目指すお客様をサポートするための、いわばサイバー金融犯罪対策の"プロフェッショナル集団"です。金融機関の中で実際にサイバー金融犯罪対策に従事してきた経験豊富なメンバーたちを擁し、インターネットバンキングサービスのセキュリティ対策強化や、スマホアプリで提供される決済サービスの見直しなど、これまでに様々なサポートを提供してきました。

その私たちFC3が、2022年1月にリリースしたのが「金融犯罪対策コンサルティング」という新たなサービスです。このサービスでは、既に提供されている金融サービス・決済サービスや、新たに提供開始を予定しているサービスに対して、「顧客保護」の観点からセキュリティ対策をレビューし、レベルアップのための改善策を提言していきます。

サイバー金融犯罪対策を講じる際に参照するスタンダードが確立しておらず、次々と新たな手口を編み出す犯罪者集団に対し、サービス提供事業者がみずから適切な施策を立案するのが難しいことは既に申し述べた通りです。だからこそ、私たちFC3のもつ「プロの目線」が、きっと皆さまのお役に立つはずです。

もし、自社サービスのサイバー金融犯罪対策に不安をお持ちの場合や、現実にサービス利用者に被害が生じてしまってお困りの場合には、ぜひお気軽にFC3へご相談ください。