リスクベース認証に生体認証を統合した認証方式が海外で広がる(EMCジャパン)

2016年2月5日12:45

EMCジャパンは、2016年2月5日、「高まる商用サイトの危険性と生体認証の可能性」と題したラウンドテーブルを開催した。フィッシングなど、不正犯罪におけるトレンド、アンダーグラウンドではどういったことが起こっているのかを、RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏が紹介し、海外の銀行が採用し始めたリスクベース認証に生体認証を統合した認証方式について解説した。

RSA,The Security Division of  EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏

RSA,The Security Division of EMC Director, Fraud & Risk Intelligence Product Management Mark Crichton(マーク クライトン)氏


将来の認証の標準は生体認証?

フィッシングは15年以上前からある古い技術で、主な対象となっているのは金融業界だ。フィッシングの被害は、2015年で5億円になり、グローバルな金融企業が狙われている。

広がるフィッシングの被害

広がるフィッシングの被害

不正を働く側にとって、フィッシングは地下組織で簡単に行えるようになっている。また、犯罪者はオンラインだけではなく、物理的に支払うときに使われるEMVカードに対しても複製による悪用を働いているそうだ。EMV化により、従来よりもリアル店舗の決済の安全性は高まっているが、不正を働く側においてもテクノロジーは進化している。また、金銭にかかわるものはもちろん、ブランドイメージを傷つけるためにこういった行為を働くケースもある。

リアルのEMVカードの複製を働こうとするケースも

リアルのEMVカードの複製を働こうとするケースも

例えば、携帯電話の機能の多くを利用できる不正なアプリケーションがある。ユーザーが同アプリをダウンロードすることにより、消費者のモバイルのコントロールを奪うことができるという。ユーザーがアプリケーションをダウンロードしてしまえば、悪意のある人がアクセスコントローラーを通じて不正を働くことができる。これにより、悪意がある人はアプリケーションが入っているすべての機器にアクセス可能だ。実際に、同アプリはヨーロッパで不正に使われており、犯罪者はオンラインのセキュリティ対策を乗り越えることができるという。具体的な犯罪の方法はSMSの転送だが、将来的には録音、録画など、モバイル機器に載っているすべてのアプリを認識できる可能性がある。

また、犯罪者は大規模な国家レベルのイベントも標的としている。実際に、ロンドン五輪では不正行為が数多く行われたそうだ。リオデジャネイロはこういった行為は少ないが、2020年の東京五輪でもしっかりとした対策が必要だ。

では、実際にはどういった脅威になのか? フィッシング攻撃やトロイの木馬の攻撃は未然に防ぐことは難しいが、これらの攻撃の対抗策を取ることができるという。組織、企業においては、1つだけではなく階層的な保護が必要であるという。この3年でモバイル機器に対する不正を試みた割合は50%増えており、PCを上回る。これらの不正行為の大部分は防ぐことができているが、その成功の確率は従来の140%に高まっているそうだ。

不正への対策

不正対策には階層的な保護が必要


マレーシアのホンリョン銀行での利用がスタート

今後もモバイルは金融業界で活用されていくと思われる。そういった状況の中で、将来の認証の標準は生体認証であるとEMCでは考えている。その理由として、生体認証機能を搭載しているスマートデバイスの数が増えているのはもちろん、消費者に対して調査をした結果でも生体認証を使いたいという回答が増えていることも挙げられる。たとえば、デロイトの調査によると70%の人が銀行とのやり取りで生体認証を使いたいという回答が得られている。

高齢者の利用が多い米国の銀行では生体認証機能を使えるようにしたが、非常に多くの人が使っているそうだ。実際にモバイル機器によってサポートされている生体認証の方法もさまざまで、指紋認証、カメラ、録音機能。センサーによるスマホの持たれ方、ユーザーのタイピングのスピードなども識別できるようになっている。また、生体認証はアジアでも急速な広がりを見せている。たとえば、マレーシアのホンリョン銀行(Hong Leong Bank)では、モバイル機器からの銀行のやり取りの際、指紋認証をスタートしている。

マレーシアのホンリョン銀行(Hong Leong Bank)では、モバイル機器からの銀行のやり取りの際、指紋認証をスタート

マレーシアのホンリョン銀行では、モバイル機器からの銀行のやり取りの際、指紋認証をスタート


「RSA Adaptive Authentication」を提供

生体認証の方法は1つだが、携帯からさまざまな情報を集めることが可能であり、それを認証のために活用することもできるようになっている。また、情報を集めることによって統計情報を得ることができる。利用者のパターンがわかれば、「通常使っている」もしくは「通常使われている」パターン化が分かるため、不正かどうかを判別できるとしている。

なお、EMCジャパンでは、リスク・ベース認証/不正行為検出プラットフォーム「RSA Adaptive Authentication(RSA アダプティブ・オーセンティケーション)」を提供しており、ゆうちょ銀行、みずほ銀行などで採用されている。生体認証を組み合わせたケースは国内ではまだないが、今後は広がっていくと予想している。

会見時に行われたデモ

会見時に行われた光彩認証のデモ

この記事の著者

ペイメントナビ編集部

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

page toppagetop