インターネットバンキングの謎 なぜ「決済時の認証方式」を利用者自身に選択させるのか：全体の38％が「犯罪者に不正利用される可能性の高い認証方式」

ラックは、インターネットバンキングサービスについて、不正送金などサイバー金融犯罪の被害が発生するリスクを調査した。それによると、セキュリティ強度の高くない認証方式を採用している金融機関が多いことが分かった。

[＠IT]

　ラックは2022年9月15日、国内の金融機関が提供する個人向けのインターネットバンキングサービスについて、サイバー金融犯罪対策に関する調査結果を公表した。ラックのサイバー金融犯罪対策支援組織「金融犯罪対策センター」が、79の金融機関を対象に、各金融機関がインターネットに公開している利用案内などの情報を基に調査した。

多数の金融機関で「リスクの高い認証方式」を利用している

　調査結果によると「インターネットバンキングサービスにセキュリティ強度の高くない認証方式を採用している金融機関を数多く確認した」という。例えば、初回の申し込みや登録時、多要素認証を採用していないサービスは38％だった。

初回申し込みや登録時に多要素認証を採用しているかどうか（提供：ラック）

　ラックによると、なりすましや不正ログインなどで不正送金されるリスクを減らすため、決済時に追加認証させることが一般的だという。だが、調査結果では約44％のサービスが「追加認証の方式を利用者が選ぶ形式」になっており、その中の約78％はセキュリティ強度の弱い認証方式が選択可能だった。

送金時の追加認証方式の選択可否と残存する比較的弱い認証の割合（提供：ラック）

　認証方式が選択できないサービスは全体の約55％で、その中には、セキュリティ強度が比較的弱い追加認証（乱数表、メールを使ったワンタイムパスワードなど）を利用している銀行も約35％あった。「これらのサービスは、比較的容易に犯罪者による突破を許してしまう恐れがある」とラックは指摘している。

　「インターネットバンキングにおける不正送金による被害は増加と減少を繰り返しているが、いつ被害が急増、再拡大するとも限らない。サービスの利用者が不正送金による被害を受けないためにも、金融機関の担当者は現時点のセキュリティ対策状況を正確に把握し、適切な改善策を実施すべきだ」（ラック）