開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2012/01/25

狙われるオンラインバンキング、“詐欺検知”の有効性は?

ベリサインFDSセミナー2011 レポート

個人情報漏えいやパスワードの不正取得/使用といったセキュリティ問題は跡を絶たない。特にフィッシング詐欺による被害は、当人が正しいサイトだと思ってパスワードなどを入力してしまうため、技術的な対策にも限界がある。もっと効果的なユーザー認証の方法はないのだろうか。そこで注目されているのが「詐欺検知」という考え方だ。野村総合研究所 石井晋也氏による講演から、その有効性を探る。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

詐欺検知は有効なスパイウェア対策となるか

 先日、「ベリサインFDSセミナー2011 ~オンラインバンクで今年発生した金融犯罪の実情と対策~」において、野村総合研究所 石井晋也氏による新しいユーザー認証に関する講演が行われた。この講演は、フィッシング詐欺や標的型攻撃が増える中、「詐欺検知」という考え方の有効性を説くものだった。

photo
野村総合研究所
IT基盤インテグレーション事業本部
DIソリューション事業部
主任システムコンサルタント
石井晋也氏
 詐欺検知とは、振る舞い認証やリスクベース認証などと呼ばれる技術だが、その説明に入る前に、石井氏は不正アクセスの現状について、オンラインバンキングで問題となっている脅威の現状について分析。地方銀行で発生した、1回の被害で2700万円が他人の口座に移されたという新聞報道を例に、

「この事例で漏えいしたパスワードは、スパイウェアに感染したPCから抜き取られています。同様の被害が、7~8月に地方銀行で発生しており、IPAによれば、盗まれたパスワードは『SpyEye』というスパイウェアによるものではないかと推測されています」

 と指摘した。スパイウェアは、PCなどに潜んで、ユーザーのパスワード入力をモニタするなどして情報を盗む。パスワードデータベース保護を強化しても漏えいを防ぐことができないため、深刻な問題だと石井氏はいう。

 スパイウェアに感染したPCは、アカウント情報の窃取以外にも、画面キャプチャ、クッキー詐称、データ改ざん、中間者攻撃とあらゆる攻撃を許してしまう。その対策は、エンドユーザーのウイルス対策ソフトやセキュリティアップデートに依存するほかない。そのような中でも、金融機関に対しては、スパイウェアやフィッシング詐欺の問題が深刻になると、「パスワードで守っています、暗号化しています」だけでは十分な対策をとっているとみなされなくなる世論があるとして、石井氏は個人向けおよび法人向けのインターネットバンキングに警鐘を鳴らす。

この記事の続き>>  パスワードを保護するだけでは不十分
             拡張性、柔軟性の高い“詐欺検出”とは?

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ID・アクセス・ログ管理 ジャンルのセミナー

ID・アクセス・ログ管理 ジャンルのトピックス

ID・アクセス・ログ管理 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!