2021年3月4日8:00
年間不正送金額30億円、クレジットカード不正利用額236億円――。IDおよびパスワード盗難による被害拡大が止まらない。危機感が薄いためか、情報セキュリティ対策が徹底せず、日本は世界の中でも最もマネーロンダリングがしやすい国という悪評が定着している。しかしキャッシュレス化を進めるためにも、セキュリティ対策の推進は不可欠。しかも早急に取り組む必要がある。不正検知システム「FraudAlert」を提供するカウリスでは、銀行や証券、クレジットカード会社などの金融機関をはじめとするさまざまな企業で、口座開設やログイン時の不正アクセス情報をデータベース化し、業界を越えて共有。不正利用防止に効果を上げている。巧妙化する不正利用の実態や、セキュリティ対策のポイントについて、代表取締役の島津敦好氏に聞いた。
IDおよびパスワード盗難の被害は
年間1,000億円にも及んでいる
マネーロンダリングやテロ資金供与対策における国際協力・協調を推進する政府間機関、FATF(Financial Action Task Force:ファトフ)による第4次対日相互審査が、2019年秋に実施された。2008年の第3次対日相互審査において、日本の金融機関は先進国の中で最低クラスの「要改善」の判定を受けた。第4次審査の結果公表は新型コロナの影響で延期され、2021年4月頃の予定であるが、審査の直前にセブン・ペイの不正アクセス事件があり、審査結果を待つ間にNTTドコモの口座不正利用事件が起きた日本に、セキュリティの改善が見られるという評価が下される可能性は低いとされる。不正検知システムを提供するカウリス 代表取締役の島津敦好氏は「日本はセキュリティや、マネーロンダリングの観点からリスクが高い国家と世界中から見られることのないよう、日本政府も金融機関もセキュリティ対策に本腰を入れ始めましたね」と現在の状況を概観する。
不正利用の入り口となるのは、IDやパスワードの盗難。オンライン上に出回っているメールアドレスやパスワードをチェックできるサイト「Have I Been Pwned」には、102億件にも及ぶメールアドレス、パスワードが登録されている。DropboxやEvernoteなどIDやパスワードを記録しておくメモアプリも盗まれており、これらを利用した“なりすまし”による不正アクセスが頻繁に行われている現状がある。
日本国内では、2019年に金融機関で起きた“なりすまし”による不正送金は約30億円、クレジットカードの不正利用は236億円に上る。
「そのほかに集計データとして把握されていないQRコード決済事業者や仮想通貨取引所で発生している被害が約700億円あるともいわれており、これを合わせると、IDおよびパスワードの盗難によって、年間1,000億円以上の被害が発生していると考えられます」(島津氏)
端末情報を照合して相違があれば追加認証
カウリスの不正検知システムでは、ユーザーがPCやスマホから入力したIDやパスワードと、端末情報を照合。そのユーザーが過去のアクセス時に使用した端末との間に相違があれば、追加認証を求める仕組みだ。フィッシングや口座転売サイトなどが横行している昨今、入会時に本人確認をとっていても、ユーザーがどこで入れ替わっているかわからない。不審な点が見つかったとき、そうでなくても少なくとも年に1度は本人確認を行うべきと島津氏は指摘する。
マネーロンダリング口座に多いのは、住所は日本国内でありながら、ログイン時のIPアドレスが国外のもので、ブラウザ言語も外国語といったパターン。また、同じ名義で多数の口座を開設し、盗んだお金を還流させているケースも多く見られる。
最近では、クレジットカード会社などのホームページから盗み取った個人情報と、攻撃者の顔写真とを組み合わせて架空名義の口座を作る手口が増えている。中には同じ顔写真で70名義の口座を作っていた例もあるという。これには電力会社の設備情報を活用して、不正利用を検出する取り組みを行っている。
