リスクベース認証に生体認証を統合した認証方式が海外で広がる(EMCジャパン)

2016年2月5日12:45

EMCジャパンは、2016年2月5日、「高まる商用サイトの危険性と生体認証の可能性」と題したラウンドテーブルを開催した。フィッシングなど、不正犯罪におけるトレンド、アンダーグラウンドではどういったことが起こっているのかを、RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏が紹介し、海外の銀行が採用し始めたリスクベース認証に生体認証を統合した認証方式について解説した。

RSA,The Security Division of  EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏
RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏

将来の認証の標準は生体認証?

フィッシングは15年以上前からある古い技術で、主な対象となっているのは金融業界だ。フィッシングの被害は、2015年で5億円になり、グローバルな金融企業が狙われている。

広がるフィッシングの被害
広がるフィッシングの被害

不正を働く側にとって、フィッシングは地下組織で簡単に行えるようになっている。また、犯罪者はオンラインだけではなく、物理的に支払うときに使われるEMVカードに対しても複製による悪用を働いているそうだ。EMV化により、従来よりもリアル店舗の決済の安全性は高まっているが、不正を働く側においてもテクノロジーは進化している。また、金銭にかかわるものはもちろん、ブランドイメージを傷つけるためにこういった行為を働くケースもある。

リアルのEMVカードの複製を働こうとするケースも
リアルのEMVカードの複製を働こうとするケースも

例えば、携帯電話の機能の多くを利用できる不正なアプリケーションがある。ユーザーが同アプリをダウンロードすることにより、消費者のモバイルのコントロールを奪うことができるという。ユーザーがアプリケーションをダウンロードしてしまえば、悪意のある人がアクセスコントローラーを通じて不正を働くことができる。これにより、悪意がある人はアプリケーションが入っているすべての機器にアクセス可能だ。実際に、同アプリはヨーロッパで不正に使われており、犯罪者はオンラインのセキュリティ対策を乗り越えることができるという。具体的な犯罪の方法はSMSの転送だが、将来的には録音、録画など、モバイル機器に載っているすべてのアプリを認識できる可能性がある。

また、犯罪者は大規模な国家レベルのイベントも標的としている。実際に、ロンドン五輪では不正行為が数多く行われたそうだ。リオデジャネイロはこういった行為は少ないが、2020年の東京五輪でもしっかりとした対策が必要だ。

では、実際にはどういった脅威になのか? フィッシング攻撃やトロイの木馬の攻撃は未然に防ぐことは難しいが、これらの攻撃の対抗策を取ることができるという。組織、企業においては、1つだけではなく階層的な保護が必要であるという。この3年でモバイル機器に対する不正を試みた割合は50%増えており、PCを上回る。これらの不正行為の大部分は防ぐことができているが、その成功の確率は従来の140%に高まっているそうだ。

不正への対策
不正対策には階層的な保護が必要

マレーシアのホンリョン銀行での利用がスタート

今後もモバイルは金融業界で活用されていくと思われる。そういった状況の中で、将来の認証の標準は生体認証であるとEMCでは考えている。その理由として、生体認証機能を搭載しているスマートデバイスの数が増えているのはもちろん、消費者に対して調査をした結果でも生体認証を使いたいという回答が増えていることも挙げられる。たとえば、デロイトの調査によると70%の人が銀行とのやり取りで生体認証を使いたいという回答が得られている。

高齢者の利用が多い米国の銀行では生体認証機能を使えるようにしたが、非常に多くの人が使っているそうだ。実際にモバイル機器によってサポートされている生体認証の方法もさまざまで、指紋認証、カメラ、録音機能。センサーによるスマホの持たれ方、ユーザーのタイピングのスピードなども識別できるようになっている。また、生体認証はアジアでも急速な広がりを見せている。たとえば、マレーシアのホンリョン銀行(Hong Leong Bank)では、モバイル機器からの銀行のやり取りの際、指紋認証をスタートしている。

マレーシアのホンリョン銀行(Hong Leong Bank)では、モバイル機器からの銀行のやり取りの際、指紋認証をスタート
マレーシアのホンリョン銀行では、モバイル機器からの銀行のやり取りの際、指紋認証をスタート

「RSA Adaptive Authentication」を提供

生体認証の方法は1つだが、携帯からさまざまな情報を集めることが可能であり、それを認証のために活用することもできるようになっている。また、情報を集めることによって統計情報を得ることができる。利用者のパターンがわかれば、「通常使っている」もしくは「通常使われている」パターン化が分かるため、不正かどうかを判別できるとしている。

なお、EMCジャパンでは、リスク・ベース認証/不正行為検出プラットフォーム「RSA Adaptive Authentication(RSA アダプティブ・オーセンティケーション)」を提供しており、ゆうちょ銀行、みずほ銀行などで採用されている。生体認証を組み合わせたケースは国内ではまだないが、今後は広がっていくと予想している。

会見時に行われたデモ
会見時に行われた光彩認証のデモ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP