オンラインバンキングの不正送金被害、法人向け対策も加速へ:全銀協が補償の方針、ベンダーも対策打ち出す
オンラインバンキングの不正送金被害が個人のみならず法人でも広がっていることを背景に、全銀協は、一定の対策を講じていることを前提に補償の方針を打ち出した。
全国銀行協会は2014年7月17日、オンラインバンキング用のIDやパスワード情報、電子証明書などを盗み出すマルウェアによる不正送金被害が、個人のみならず法人でも増加していることを踏まえ、法人向けの補償に関する指針を公表した。「OSなどを最新の状態に保つ」「セキュリティ対策ソフトを導入し、最新の状態で運用する」といった6つの対策を取っていることを前提に、法人顧客向けの補償を検討する。
オンラインバンキングの普及にともない、そこで使われるIDやパスワード情報を盗み出して第三者に勝手に送金する不正送金の被害が増加傾向にある。警察庁によると、2013年の被害額は約14億600万円だったが、2014年は5月9日時点でそれを上回る14億1700万円の被害が発生した。しかも、個人利用者だけでなく、法人での被害も拡大しているという。
これまで全国銀行協会では、個人向けには、預金者保護法の考え方に基づき、銀行側に過失がない場合でもオンライン不正送金に対する補償を行ってきたが、法人は補償の対象外としてきた。しかし法人の場合、被害額が個人に比べて多額になる傾向がある他、手口が高度化、巧妙化し、一般的なセキュリティ対策を実施しているにもかかわらず、なりすましや不正送金が発生する恐れがあることを踏まえ、法人も、一定の条件の基で補償の対象に含める決定をした。
ただし補償に当たっては、銀行、法人顧客ともに一定のセキュリティ対策を取ることを求める。
銀行側には、「電子証明書によるセキュリティ強化」「ワンタイムパスワードによる認証強化」「トランザクション認証」「リスクベース認証」など認証機構の強化に加え、不正な取引を検知する運用、体制作りを講じるべきとしている。
一方法人顧客側には、銀行側が講じた上記の対策の実施に加え、
- OS、WebブラウザなどPC上のソフトウェアを最新の状態に更新する
- サポート切れのOSやWebブラウザなどは使用しない
- セキュリティ対策ソフトを導入し、最新の状態で利用する
- パスワードを定期的に変更する
- 銀行が指定した正規の手順以外では電子証明書を利用しない
といった対策を求める。さらに「オンラインバンキング専用のPCを利用する」「取引の申請者と承認者とで異なるPCを利用する」「不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認する」といった対策を通じて、不正利用の防止に努めてほしいとしている。
逆に、これらの対策を実施していなかったり、不正取引が発生してから一定期間内に銀行や警察に通報しなかったりする場合には、補償の減額、あるいは対象外になり得る。
法人向けにファイルサーバーとオンライン取引を保護
こうした取り組みを背景に、セキュリティベンダーも対策支援に乗り出している。
カスペルスキーは同日、小規模オフィス向けのセキュリティ対策製品「カスペルスキー スモール オフィス セキュリティ」の販売を開始した。5〜10人規模の小規模法人を対象に、エンドポイント向けのセキュリティソフトとファイルサーバー用対策ソフトをパッケージ化して提供する。
特徴の1つに、「ネット決済保護機能」がある。これはセーフブラウジング機能とセキュリティキーボードを組み合わせた仕組みで、あらかじめ登録したオンラインバンキングサイトなどとの間でやりとりするIDやパスワード、通信内容などを保護するもの。同社によると「地方銀行など小規模な金融機関も含め、国内約400行について検証済み」という。
またトレンドマイクロは2014年7月16日、金融機関の対策支援の一環として、不正送金マルウェアによる被害調査などを支援する「金融機関向けインターネット不正送金対策サービス」の提供を開始した。同社と、各金融機関や金融機関向けシステムの運用パートナー企業とが連携してコールセンターを設置し、利用者からのオンライン詐欺を目的とした不正プログラムに関する問い合わせに、金融機関に代わってトレンドマイクロが対応する。具体的には、マルウェア感染の有無の調査やログ採取、分析、駆除作業などを代行する。また、各金融機関をかたったフィッシング詐欺サイトの早期発見サービスも併せて提供するという。
Copyright © ITmedia, Inc. All Rights Reserved.