2019年5月23日8:00
攻撃者による不正手口の巧妙化・高度化が進む中、恒常的に追加対策が求められ、リスクを下げるための最適な対策が急務となってます。他社がどのように考え、対応しているか話題になると考えられます。今回は、セブン銀行口座のこれまでの不正利用対策の歩みとともに、未然防止策について、主に攻撃者によるアタックの兆候を発見する着眼点等を、事例を交えながら解説するとともに、最新の取り組みについても説明いたします。
セブン銀行 7BK-CSIRT エグゼクティブアドバイザー 安田 貴紀氏
金融犯罪対策部での銀行口座の不正利用対策について
私は2004年にセブン銀行に入社して、事業開発部で口座の商品開発を担当した後、2014年に金融犯罪対策部に異動して以来、不正対策を担当させていただいております。2015年には7BK-CSIRTを立ち上げ、リーダーを務めています。現在はバーコード決済サービス「セブン・ペイ」の商品開発や新規ビジネス開発も担当しています。今回は、セブン銀行口座の不正利用を狙う攻撃者のアタックの兆候など、未然防止における当社の着眼点について、事例を交えながらご紹介させていただきます。
セブン銀行はセブン‐イレブンを中心に2万4,000台のATMを設置して、ATMサービスを展開しています。また、現在183万の銀行口座を持ち、振込、個人向けローンサービス、海外送金などのサービスを行っています。開業以来、インターネットバンキングやATMを通じた非対面の金融取引が中心で、対面の金融サービスはほとんど行っていません。インターネット経由で1万7,000件程の口座を毎月開設し、ご利用していただいている状況です。商品の特徴として、海外送金事業者と接続して、セブン銀行の口座から海外の口座に送金できるサービスなどを提供しており、外国人のお客様も積極的に獲得しています。
当社の取組をクレジットカードの業界に置き換えてみると直近にクレジットカード取引におけるセキュリティ対策強化に向けた「実行計画2019」が発表されまして、リスクベースや行動分析があります。こちらが今回ご説明する当社の取組に共通した内容になります。銀行で口座開設と呼ばれるのは、クレジットカードでの入会、ECサイトでの新規入会のように読み取っていただければと思います。また、預金取引モニタリングとは、クレジットカードのオーソリのモニタリングであったり、ショッピングの監視に読み替えてイメージしていただければと考えています。
まず、金融機関全般においては、アンチマネーロンダリングとして、自分たちのお客様がどのような状況にあるのかを評価するための、特定事業者書面を作成して、定例会を通じて経営に常に報告する体制を社内ではとっている現状です。具体的には、口座開設の申し込みの段階からお客様を少し色分けしています。1つが、申し込みの段階で、謝絶する以外に、リスクの高さに応じてフラグ分けをして、口座開設を行い、お客様のリスクによる格付けをして監視しています。
お客様は、預金取引であったり、インターネットバンキングにてアクセスするような取引をしていきますが、その取引内容を監視しながら、要注意のフラグにも何段階かあり、徐々にリスクレベルの高くなるにつれ、最終的には、口座が凍結されてしまうこともあれば、入口の段階では少し不審だとしても、ステップを踏むごとに、正当なホワイトリストに入ってくるお客様もいます。
これは、ガイドライン等で求められていますが、ガイドラインが発表される前からセブン銀行の中でも現場でお客様を格付けし、運用するのは有効なやり方であると認識していました。業界を超えていろいろなお客様の格付けの管理をしていくと、有効な方法も見えてくると思います。セブン銀行では金融犯罪対策部という部署があり、ここが不正口座などのセキュリティの所管をしています。預金取引のモニタリングシステムを2008年から稼働させており、約10年間の実績がございます。その中で、私は金融犯罪対策部にて、セブン銀行口座における不正利用対策の立案、取引モニタリングルール検証、不正送金の対策・監視を行っています。大きな特徴的は、金融犯罪対策部の中にCSIRTの担当を置いており、不正口座監視担当や不正送金兆候発生時の電話対応、被害発生時の被害者や警察対応など1つの部署内で全て対応、情報がすべて共有されており、全体把握が可能であり、迅速に対応出来る体制が構築されています。
年々、攻撃は巧妙に進化
銀行口座における不正利用には、大きく分けると、被害者がいるケースといないケースの2つに分かれます。被害者がいるケースというのは、被害発生後、お客様から連絡があります。インターネット不正送金や振り込め詐欺は事後連絡が殆どです。被害者がいないケースは、キャッシュカードや、IDやパスワード等口座情報を第三者に渡してしまったケースが主に見受けられます。この段階では不正取引として認識するのは難しいです。また、架空名義の高度な偽造の免許証を使った口座開設は、なかなか見抜けません。
この2つには関係性があり、例えばインターネット不正送金での振込元の口座です。被害者が、フィッシングやマルウェアで認証情報を盗られて、インターネットで操作されて不正送金をされてしまいます。そうすると受取口座があって、攻撃者が口座譲渡や架空名義で作った口座でお金を受け取って引き出します。振り込め詐欺、オレオレ詐欺みたいなものは、被害者が騙されて自分の口座を操作してしまうものですが、受取口座はやはり攻撃者が口座譲渡で入手した口座や架空名義で作成された口座が使われます。
受け取りの口座をどうやって攻撃者が入手しているのかが1つのポイントになります。インターネット上で調べていただくと、口座買い取り業者のサイトがいくつか存在しています。常時4つから5つぐらいのサイトが稼働してます。海外のサーバにあったりするので当該サイトは出現したり消えたりをずっと繰り返している状況です。これを見ていくと、「口座は犯罪に使うことは絶対にありません」と書いてありますが、犯罪に使われると思います。
実際、当該サイトでは価格表が出ていまして、銀行で3~5万円ほどの金額で口座を複数買い取りますとなっていたり、地銀のインターネット支店へのリンクが張ってあり、そのまま申し込みしやすいような導線が確保されています。ですから、口座を売るのは遠い存在のように思われますが、実は身近なところでも出てきてしまいますし、金融リテラシーや犯罪性がないと思われる人にとっては、口座を作って売りやすい環境になっています。本人確認書類の偽造、免許証を作るなど、これをサポートするようなサイトもあります。偽造運転免許証が10万円ぐらいで作ることができ高性能であるとサイトに記載されています。犯罪者にとっては、10万円で、銀行口座1つが3万~5万円で売れるということは、3つから4つぐらい作れば、利益が生まれるお話になってくると思います。
このように取巻く環境の情報を踏まえると、セブン銀行が不正犯罪対策を考えるときにこれまでの前提を考え直さなければなりません。口座を譲渡するのは、正しい人が口座を申し込んで、それを新しく悪い人に売ってしまうため、本人確認の書類で見分けるのは難しいです。偽造の免許証も高性能なものが出回っているとしたら、それを見破るのは難しいです。本人確認書類のなかから免許証の偽造が無いという前提であれば、それを見ていれば十分ですが、そういうことも難しい時代になってきたことを前提に置いて、セブン銀行では、様々な対策を講じています。
徐々に攻撃が巧妙化、進化しており、私がはじめて金融犯罪対策部に入った2014年のころは、データから見て感覚的にはオレオレ詐欺をする人が自分で架空の口座を使って自分でお金を受け取る動きが多かったですが、直近の2~3年は先ほどのようなサイトが数多く現れてきて、口座を作る人、売る人、犯罪をする人が、組織化してきています。また、インターネットバンキングのアクセス状況のログから見ても、組織化が進んでいると感じます。
弱い部分が見つかると集中的に狙われるところも、だいぶ変化していまして、4年ぐらい前は弱いところがあるとその日に大量の申し込みがありましたが、現状では1週間に1回、2週間に1回ぐらいしか申し込みがなくて、けっこう長期化してきており、犯罪に気づくと、1年前から行われているケースもあります。対策をしないとずっと狙われますので、アタックの兆候を早く見つけて未然防止することがポイントです。
では、そのアタックの兆候とはどんなことかというと、インターネットバンキングへのアクセスの状況として、外国のIPアドレスでブラウザ言語は外国語だけしか設定されていないものは怪しいと思います。外国語だけの言語設定の場合、普通の日本語のホームページではたいていのホームページが文字崩れをして読めないサイトになってしまうことを踏まえると、この人が日本人であるというのは違和感があります。
ほかには、給与が振り込まれたりするとメールで通知してくれるサービスがありますが、一般的にはお金が入ってメールがきたらそれを見て出金するのが普通のお客さまの動きだと思います。悪意がある人は、お金が振り込まれることがわかっているので、その前からインターネットバンキングにログインや、残高照会を頻繁にしてお金が入金されるのを待っていて、メールがくるよりも早くお金を引き出そうとします。細部に出る攻撃者の不自然さを捉えることが重要です。
※本内容は、2019年3月13日に開催された「ペイメントカー
