写真●米EMC、RSA事業本部、Fraud and Risk Intelligence(FRI)製品部門シニアディレクターのマーク・クライトン(Mark Crichton)氏
[画像のクリックで拡大表示]

 EMCジャパンRSA事業本部は2016年2月5日、フィッシングサイトやスマートフォン向けの不正なアプリケーションなど、主に金融機関を対象としたサイバー攻撃の動向についての説明会を開催した(写真)。対策の一つとして、本人以外によるログインが疑われる場合に追加で認証を行うリスクベース認証が有効とした。特に、スマートフォンにおいて指紋などの生体認証を使って追加認証する取り組みが活発になっているという。

 フィッシングサイトを使った手口は昔からあり、鈍化しているものの、今でも被害は増え続けているという。フィッシング攻撃は簡単であり、地下組織で流通しているツールを使えば、本物のWebサイトのURLを指定するだけで完全コピーのフィッシングサイトが完成する。メールアドレスなど収集したいデータ項目を選んで設定し、これをホスティングするだけでフィッシングサイトの運用を始められる。

 モバイル端末(iOS/Android)を対象とした不正な攻撃も、ここ3年で50%増えているという。モバイル機器をパソコン上でエミュレーションするなどしてから攻撃する例も一般化した。金融機関を狙ったスマートフォン向けマルウエア「iBanking」(画面1)は管理画面が充実しており、金融機関からSMSメッセージで追加承認情報が送られてきた際に、このSMSメッセージを犯罪者の管理サーバーに転送するといった設定が簡単にできる。

画面1●金融機関を狙ったスマートフォン向けマルウエア「iBanking」の管理画面
(出所:EMCジャパンRSA事業本部)
[画像のクリックで拡大表示]

 こうした状況の下、将来は生体認証がメインになると説明するのは、米EMCのRSA事業本部でFraud and Risk Intelligence(FRI)製品部門シニアディレクターを務めるマーク・クライトン(Mark Crichton)氏。「生体認証が使えるスマートフォンが多いというだけでなく、消費者も生体認証を使いたがっている。高齢者が多い米国の銀行で生体認証を導入したところ、利用率が高かった。生体認証は若者だけでなく広範な人に求められている」(クライトン氏)。

銀行で生体認証の採用が進む

画面2●iPhoneのフロントカメラで目の静脈パターンをスキャンしている。生体認証をリスクベース認証の追加認証に利用したデモンストレーションの例
(出所:EMCジャパンRSA事業本部)
[画像のクリックで拡大表示]

 生体認証は、金融機関のリスクベース認証で実際に導入が始まっているという。例えば、マレーシアのホンリョン銀行が指紋認証を採用した。また、RSA事業本部が参画している米国金融機関の開発プロジェクトでは、ID/パスワードをアプリケーションに組み込んでおき、利用者による実際のログイン手続きを生体認証だけで行えるようにする。

 リスクベース認証とは、いつもと違う端末からアクセスしているなど、統計上普段とは異なるアクセスパターンがあった時に、本人以外による成りすましのログインを疑い、追加で本人確認を実施することを指す。成りすましが疑われる時に限って追加認証することで、簡単にログインできる利便性とセキュリティを両立させるアイディアだ。金融機関の多くがオンラインバンキングのWebサイトで採用している。

 EMCジャパンRSA事業本部が提供しているリスクベース認証ソフトが「RSA Adaptive Authentication」である(関連記事:RSAセキュリティがリスクベース認証ソフトを機能強化,携帯電話対応に)。2015年第3四半期(2015年7月~9月)には機能を拡張し、生体認証を追加認証の手段として利用できるようにした。

 この説明会では、実際に生体認証をリスクベース認証の追加認証に利用したデモンストレーションを披露した(画面2)。iPhoneの指紋認証と、目の静脈パターンをフロントカメラでスキャンして認証するやり方の2通りの生体認証を利用したデモである。「指紋認証は普及しており、もっとも簡単に使える。目の静脈パターンも実用的だ」(クライトン氏)。音声認識や顔認識による認証機能も備えるが、これらは正確性が低くエラーも多いという。