リスクベース認証に生体認証を統合した認証方式が海外で広がる(EMCジャパン)

2016年2月5日12:45

EMCジャパンは、2016年2月5日、「高まる商用サイトの危険性と生体認証の可能性」と題したラウンドテーブルを開催した。フィッシングなど、不正犯罪におけるトレンド、アンダーグラウンドではどういったことが起こっているのかを、RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏が紹介し、海外の銀行が採用し始めたリスクベース認証に生体認証を統合した認証方式について解説した。

RSA,The Security Division of  EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏
RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏

将来の認証の標準は生体認証?

フィッシングは15年以上前からある古い技術で、主な対象となっているのは金融業界だ。フィッシングの被害は、2015年で5億円になり、グローバルな金融企業が狙われている。

広がるフィッシングの被害
広がるフィッシングの被害

不正を働く側にとって、フィッシングは地下組織で簡単に行えるようになっている。また、犯罪者はオンラインだけではなく、物理的に支払うときに使われるEMVカードに対しても複製による悪用を働いているそうだ。EMV化により、従来よりもリアル店舗の決済の安全性は高まっているが、不正を働く側においてもテクノロジーは進化している。また、金銭にかかわるものはもちろん、ブランドイメージを傷つけるためにこういった行為を働くケースもある。

リアルのEMVカードの複製を働こうとするケースも
リアルのEMVカードの複製を働こうとするケースも

例えば、携帯電話の機能の多くを利用できる不正なアプリケーションがある。ユーザーが同アプリをダウンロードすることにより、消費者のモバイルのコントロールを奪うことができるという。ユーザーがアプリケーションをダウンロードしてしまえば、悪意のある人がアクセスコントローラーを通じて不正を働くことができる。これにより、悪意がある人はアプリケーションが入っているすべての機器にアクセス可能だ。実際に、同アプリはヨーロッパで不正に使われており、犯罪者はオンラインのセキュリティ対策を乗り越えることができるという。具体的な犯罪の方法はSMSの転送だが、将来的には録音、録画など、モバイル機器に載っているすべてのアプリを認識できる可能性がある。

また、犯罪者は大規模な国家レベルのイベントも標的としている。実際に、ロンドン五輪では不正行為が数多く行われたそうだ。リオデジャネイロはこういった行為は少ないが、2020年の東京五輪でもしっかりとした対策が必要だ。

では、実際にはどういった脅威になのか? フィッシング攻撃やトロイの木馬の攻撃は未然に防ぐことは難しいが、これらの攻撃の対抗策を取ることができるという。組織、企業においては、1つだけではなく階層的な保護が必要であるという。この3年でモバイル機器に対する不正を試みた割合は50%増えており、PCを上回る。これらの不正行為の大部分は防ぐことができているが、その成功の確率は従来の140%に高まっているそうだ。

不正への対策
不正対策には階層的な保護が必要

マレーシアのホンリョン銀行での利用がスタート

今後もモバイルは金融業界で活用されていくと思われる。そういった状況の中で、将来の認証の標準は生体認証であるとEMCでは考えている。その理由として、生体認証機能を搭載しているスマートデバイスの数が増えているのはもちろん、消費者に対して調査をした結果でも生体認証を使いたいという回答が増えていることも挙げられる。たとえば、デロイトの調査によると70%の人が銀行とのやり取りで生体認証を使いたいという回答が得られている。

高齢者の利用が多い米国の銀行では生体認証機能を使えるようにしたが、非常に多くの人が使っているそうだ。実際にモバイル機器によってサポートされている生体認証の方法もさまざまで、指紋認証、カメラ、録音機能。センサーによるスマホの持たれ方、ユーザーのタイピングのスピードなども識別できるようになっている。また、生体認証はアジアでも急速な広がりを見せている。たとえば、マレーシアのホンリョン銀行(Hong Leong Bank)では、モバイル機器からの銀行のやり取りの際、指紋認証をスタートしている。

マレーシアのホンリョン銀行(Hong Leong Bank)では、モバイル機器からの銀行のやり取りの際、指紋認証をスタート
マレーシアのホンリョン銀行では、モバイル機器からの銀行のやり取りの際、指紋認証をスタート

「RSA Adaptive Authentication」を提供

生体認証の方法は1つだが、携帯からさまざまな情報を集めることが可能であり、それを認証のために活用することもできるようになっている。また、情報を集めることによって統計情報を得ることができる。利用者のパターンがわかれば、「通常使っている」もしくは「通常使われている」パターン化が分かるため、不正かどうかを判別できるとしている。

なお、EMCジャパンでは、リスク・ベース認証/不正行為検出プラットフォーム「RSA Adaptive Authentication(RSA アダプティブ・オーセンティケーション)」を提供しており、ゆうちょ銀行、みずほ銀行などで採用されている。生体認証を組み合わせたケースは国内ではまだないが、今後は広がっていくと予想している。

会見時に行われたデモ
会見時に行われた光彩認証のデモ

関連記事

ペイメントニュース最新情報

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

トッパンの決済ソリューションをご紹介(凸版印刷)
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)

スマホ会員証でポイントサービス。今イチオシの「VALUE GATE」(トリニティ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

40ブランドに対応するキャッシュレス決済ゲートウェイ事業のほか、ハウスプリペイドやクラウドPOSなどのマーケティングソリューションを提供する情報プロセシングカンパニーです。(トランザクション・メディア・ネットワークス)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP