リスクベース認証に生体認証を統合した認証方式が海外で広がる(EMCジャパン)

2016年2月5日12:45

EMCジャパンは、2016年2月5日、「高まる商用サイトの危険性と生体認証の可能性」と題したラウンドテーブルを開催した。フィッシングなど、不正犯罪におけるトレンド、アンダーグラウンドではどういったことが起こっているのかを、RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏が紹介し、海外の銀行が採用し始めたリスクベース認証に生体認証を統合した認証方式について解説した。

RSA,The Security Division of  EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏
RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏

将来の認証の標準は生体認証?

フィッシングは15年以上前からある古い技術で、主な対象となっているのは金融業界だ。フィッシングの被害は、2015年で5億円になり、グローバルな金融企業が狙われている。

広がるフィッシングの被害
広がるフィッシングの被害

不正を働く側にとって、フィッシングは地下組織で簡単に行えるようになっている。また、犯罪者はオンラインだけではなく、物理的に支払うときに使われるEMVカードに対しても複製による悪用を働いているそうだ。EMV化により、従来よりもリアル店舗の決済の安全性は高まっているが、不正を働く側においてもテクノロジーは進化している。また、金銭にかかわるものはもちろん、ブランドイメージを傷つけるためにこういった行為を働くケースもある。

リアルのEMVカードの複製を働こうとするケースも
リアルのEMVカードの複製を働こうとするケースも

例えば、携帯電話の機能の多くを利用できる不正なアプリケーションがある。ユーザーが同アプリをダウンロードすることにより、消費者のモバイルのコントロールを奪うことができるという。ユーザーがアプリケーションをダウンロードしてしまえば、悪意のある人がアクセスコントローラーを通じて不正を働くことができる。これにより、悪意がある人はアプリケーションが入っているすべての機器にアクセス可能だ。実際に、同アプリはヨーロッパで不正に使われており、犯罪者はオンラインのセキュリティ対策を乗り越えることができるという。具体的な犯罪の方法はSMSの転送だが、将来的には録音、録画など、モバイル機器に載っているすべてのアプリを認識できる可能性がある。

また、犯罪者は大規模な国家レベルのイベントも標的としている。実際に、ロンドン五輪では不正行為が数多く行われたそうだ。リオデジャネイロはこういった行為は少ないが、2020年の東京五輪でもしっかりとした対策が必要だ。

では、実際にはどういった脅威になのか? フィッシング攻撃やトロイの木馬の攻撃は未然に防ぐことは難しいが、これらの攻撃の対抗策を取ることができるという。組織、企業においては、1つだけではなく階層的な保護が必要であるという。この3年でモバイル機器に対する不正を試みた割合は50%増えており、PCを上回る。これらの不正行為の大部分は防ぐことができているが、その成功の確率は従来の140%に高まっているそうだ。

不正への対策
不正対策には階層的な保護が必要

マレーシアのホンリョン銀行での利用がスタート

今後もモバイルは金融業界で活用されていくと思われる。そういった状況の中で、将来の認証の標準は生体認証であるとEMCでは考えている。その理由として、生体認証機能を搭載しているスマートデバイスの数が増えているのはもちろん、消費者に対して調査をした結果でも生体認証を使いたいという回答が増えていることも挙げられる。たとえば、デロイトの調査によると70%の人が銀行とのやり取りで生体認証を使いたいという回答が得られている。

高齢者の利用が多い米国の銀行では生体認証機能を使えるようにしたが、非常に多くの人が使っているそうだ。実際にモバイル機器によってサポートされている生体認証の方法もさまざまで、指紋認証、カメラ、録音機能。センサーによるスマホの持たれ方、ユーザーのタイピングのスピードなども識別できるようになっている。また、生体認証はアジアでも急速な広がりを見せている。たとえば、マレーシアのホンリョン銀行(Hong Leong Bank)では、モバイル機器からの銀行のやり取りの際、指紋認証をスタートしている。

マレーシアのホンリョン銀行(Hong Leong Bank)では、モバイル機器からの銀行のやり取りの際、指紋認証をスタート
マレーシアのホンリョン銀行では、モバイル機器からの銀行のやり取りの際、指紋認証をスタート

「RSA Adaptive Authentication」を提供

生体認証の方法は1つだが、携帯からさまざまな情報を集めることが可能であり、それを認証のために活用することもできるようになっている。また、情報を集めることによって統計情報を得ることができる。利用者のパターンがわかれば、「通常使っている」もしくは「通常使われている」パターン化が分かるため、不正かどうかを判別できるとしている。

なお、EMCジャパンでは、リスク・ベース認証/不正行為検出プラットフォーム「RSA Adaptive Authentication(RSA アダプティブ・オーセンティケーション)」を提供しており、ゆうちょ銀行、みずほ銀行などで採用されている。生体認証を組み合わせたケースは国内ではまだないが、今後は広がっていくと予想している。

会見時に行われたデモ
会見時に行われた光彩認証のデモ

関連記事

ペイメントニュース最新情報

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP