キヤノンMJ/サイバーセキュリティ情報局

オンライン/モバイルバンキングなどに対する脅威とセキュリティリテラシー

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はESET Japanが提供する「ESETブログ」に掲載された「オンラインバンキング、モバイルバンキングなどに対する脅威とセキュリティ」 を再編集したものです。

 一般消費者がフィンテックを最初に利用したのは、1918年に米国連邦準備制度理事会が、電信送金を行うFedwire資金業務サービスを導入したときです。それから77年後の1995年、米国のウェルズ・ファーゴ銀行が世界初のインターネットバンキングサービスの提供を開始しました。

 オンライン/インターネットバンキングの登場は、セルフサービス型のプラットフォームが作成され個人金融にまでデジタル化の波が押し寄せたことを示すことになりました。これ以降、オンラインバンキングとデジタルコマースは加速度的に発展します。1998年には今では多くのユーザーが利用している簡易な送金サービスが登場しました。このサービスはPayPal社の前身であるConfinity社が開始したものです。

 しかし、残念ながら、これらのトレンドと並行して、サイバー攻撃の脅威も同じように増加します。銀行が新たなセキュリティプロトコルを追加したことで、金融機関やデジタルトランザクションを攻撃するTTP(戦術/技術/手順)も高度化しました。たとえば、ウラジミール・レヴィンが1994年に引き起こしたハッキングでは、シティバンクが攻撃されました。この攻撃では、ダイヤルアップ接続からインターネット経由で侵入され、同行の口座から約10億円が盗み出されました。

 オンラインバンキングサービスが開始される1年前に実行されたレヴィンの犯罪は最終的に失敗に終わりましたが、攻撃に成功した犯罪者の遺物は今も残っています。テクノロジーは大きく進歩していますが、ファイナンスのセキュリティ保護は容易ではなく、サイバー犯罪は今も続いています。オンラインバンキングの登場から25年近くが経過した今、金融業界とコンピュータセキュリティ業界は、既知のさまざまな攻撃を防ぎ、水面下の潜在的な脅威から保護するために奔走しています。

数え切れないほど多くのオンラインバンキングやオープンバンキングなどが存在する

 オンラインバンキングサービスを提供している企業は、求められる利便性を維持しながらも、バンキングアプリの開発者に、アクセス、データ送信、データ保管方法の安全性を高めるように求めてきました。その多くが、複数の保護機能を実装し、成熟した現在のシステムにつながっています。しかし、従来型のオンラインバンキングや最新のオンラインバンキングでも、デジタルファイナンスやフィンテックを取り巻く現在の脅威の規模と複雑さに対応することが困難になっています。

 世界中の銀行がオンラインバンキングサービスを標準で提供しており、ユーザーアクセスを保護するために相当な労力が払われてきました。通常、ユーザー名とパスワード、そしてさらに進んだ対策では何らかの多要素認証が求められます。一般的な保護方法には、パスワードの保護、ハードウェア認証デバイス、SMSベースの認証、アプリ内認証などがあります。

 ESETは、ESET Smart Security Premiumなどの製品機能として、二要素認証や、顧客の認証情報やオンラインバンキングを安全に保護するセキュアブラウザを提供して消費者を保護しています。さらに、フィッシング対策テクノロジーとフルディスク暗号化によって、オンラインバンキングの取引で使用される認証情報や他の貴重な個人データや金融データを狙っているサイバー犯罪者が膨大な労力とコストをかけても攻撃を成功させることを難しくしています。

オンラインバンキングに対する脅威

 銀行のオンラインポータルに実装されている固有のテクノロジーでも、ユーザーが選択したセキュリティ製品のテクノロジーであれ、このようなテクノロジーが進化していることは、攻撃者がオンラインバンキングの取引データに高い価値があると考えていることを示しています。オンラインバンキングへの攻撃は、通常、顧客の金銭を直接盗むためのフィッシングメールから始まります。これらのフィッシングメールでは、悪意のあるリンクをクリックさせたり、一見無害に見える添付ファイルをユーザーのデバイスにダウンロードさせたりします。ラテンアメリカは、このような銀行を標的とするトロイの木馬の温床となっています。悪意のある添付ファイルから、トロイの木馬がインストールされることが多くあります。このトロイの木馬はユーザーの銀行口座に不正にアクセスして預金を盗み出します。

 現在増加傾向にある攻撃は、データの盗み出しです。サイバー犯罪者は、ユーザーデータを盗み出し、ユーザーの行動、金融に関する習慣、取引の時間、預金残高や借金を詳細に調査しています。このようなデータは、不届きな広告事業者やマーケターから、ユーザーを直接狙う犯罪者まで、誰にとっても価値があります。これらのデータがあれば、各ユーザーに合わせたアプローチを秘密裏に実行し、多額の金銭を盗み出すことが可能になります。一般ユーザーもそうですが、経営者やビジネスマンはビジネスメール詐欺攻撃の標的にされることが多く、特に警戒が必要です。

 オンラインバンキング(特にモバイルバンキングやインターネット専用銀行)に関しては、利用を検討しているプロバイダーが保険に加入しているかどうかを確認する必要があります。このような保険として、米国には連邦預金保険公社(FDIC)が、欧州には欧州預金保険制度(EDIS)が存在します。

モバイルバンキングを狙ったAndroidマルウェアとトロイの木馬

 2010年頃になると、既存の銀行がAppleやAndroidプラットフォームからモバイルサービスを展開したことから、サードパーティーのアプリ開発者も追随し、ユーザーに同じような便利な機能を提供し始めました。何百万人ものユーザーが「便利そうだから使ってみよう」と思い、フィンテックアプリをダウンロードしています。しかし、同じようにサイバー犯罪者もユーザーの資産と個人情報を狙っており、過去には、Google Playのような管理されているアプリストアであっても、ユーザーの銀行口座情報を標的とした悪意のあるアプリケーションで溢れていました。

 2019年、GoogleはGoogle Playストアの安全性を高めるために「Google App Defense Alliance」を創設しました。このような取り組みの成果もあり、現在では、星占いなどに装った悪意のあるアプリの多くが削除されました。最近のオンラインバンキングへの攻撃はさらに複雑化しており、ユーザーの銀行利用に関するデータ、暗号通貨ウォレット、認証情報を標的として、デバイスを乗っ取り、パスワードや二要素認証コードを盗み、ランサムウェアをドロップするために専用設計されたバンキングトロジャンや偽の金融アプリが検出されています。

 このような最新の攻撃を防ぐためには、銀行取引と支払を保護する機能が統合されているESET Mobile Securityのような実績があり高く評価されているモバイルセキュリティアプリを使用してください。正規のアプリストアのみを使用し、新しいアプリをデバイスにインストールする場合には、時間をかけてその必要性とリスクを判断してください。

オープンバンキング+フィンテック ― 規制とセキュリティ

 多くのユーザーが、従来のオンラインバンキングアプリは機能が不足しており、処理が遅く、不便だと不満を漏らしています。このギャップを解消するべく、サードパーティアプリの開発者は、アプリと既存の金融インフラとの通信を可能にするアプリケーションプログラミングインターフェイス(API)を介して、多くのソリューションを追加してきました。これらのAPIは現状を大きく変化させました。オンライン口座を単に管理するではなく、デジタルトランザクション、保険、暗号通貨や株式トレードも可能になったのです。

 このような動きに伴って、規制やセキュリティニーズも大きく変化します。たとえば、EU域内の銀行や他の金融機関に競争とイノベーションの強化を促す、欧州委員会(EC)のPSD2(Payment Services Directive / 欧州決済サービス指令第2版)が発効されました。PSD2は2015年に導入され、ECは、サードパーティーの金融サービスプロバイダーがAPIを介して既存の銀行システムや顧客データに直接かつ合法的にアクセスし、顧客の金融情報にアクセスするための安全な方法を規定しました。

 オープンバンキングに関連する欧州のセキュリティ対策は、同様の取り組みを行っていない米国の規制と対比すると大きく異なります。米国でも欧州でも、アクセスのしやすさ、利便性、セキュリティの境界線をどこに引くかが重大な懸念となっています。ヨーロッパで展開しているErste Groupの「George」などのアプリでは、サードパーティーが、消費者と口座保有者の集約されたデータから作られた競争力のあるサービスや料金体系を顧客のダッシュボードに直接提供できるようになっています。Georgeから見た場合、PSD2の少なくとも1つの目標(アカウント所有者への権限付与)は解決されています。

 データへのアクセスが増加しアップデートが早くなる中で、これらの技術的なリスクをユーザーの行動変化にどのように反映されるかは、ユーザーの意思決定をよりリスクの高いものにする可能性があることから、もう1つの大きな課題になっています。最近の仮想通貨とオンライントレードの傾向を見ると、より大規模なデータを収集し、消費者の関心を引き寄せて、取引を活性化しています。また、どちらの活動も、通常の銀行取引よりもサイバーリスクや損失のリスクが高いように思われるため、オープンバンキングが提供しているサービスを検討する際には、慎重に検討しても良いかもしれません。

 欧州は、新しいフィンテック環境への規制に真正面から取り組んでいますが、この取り組みにより他の地域よりも迅速にセキュリティ基準を向上できるかどうかは、時が経ってみないと分かりません。しかし、現在明確になっているのは、金融リテラシーにはサイバーセキュリティのリテラシーが必須であることです。

フィンテック:リスクはあらゆるユーザーに存在する

 私たちはさまざまな場所と方法でバンキングアプリを使用するようになりましたが、新型コロナウイルスによって、消費者、さらには企業も、サードパーティアプリの採用をさらに加速しています。

 オープンバンキングに関する法制化と並行し、サードパーティアプリプロバイダーと他の既存の金融機関のIT環境との相互運用性を強化する他の取り組みも数多く進められています。広義ではこれは「金融の民主化」と言えます。PSD2のような指針がなく、パーソナルファイナンスと投資機能を提供するアプリが人気を集めている米国では、これは強く支持されています。

 ESETではフィンテックを特集したブログを連載しています。家計管理、仮想通貨取引、デジタルウォレット、オンライントレードに関連のサービスを提供しているサードパーティアプリをいくつか取り上げ、そのセキュリティについて詳細に調査しています。セキュリティ上のベストプラクティス、そして一般通念に照らしても明らかですが、民主化(普及)が急速に進むファイナンスの世界において重要なことは、アプリを選択することだけではありません。セキュリティへの心構えを整えておくこと、そしてデータが高速かつ連続して提示されたときに冷静に対処できるようにしておくことも重要です。これらのフィンテックを新たに利用することは、思わぬ結果へとつながる恐れがあります。リスクが伴っているのです。

 テクノロジーによって、ユーザーは口座を開設すれば資金を気軽に運用できるようになり、これまでには取らないようなデジタルリスクを取るようになっているように思われます。これらの多くは経済的なアドバイスとなっていますが、現在、金融リテラシーではサイバーセキュリティのリテラシーが必須であることを今一度お伝えします。

 [参照元]
 オンラインバンキング、モバイルバンキングなどに対する脅威とセキュリティ
 https://www.eset.com/jp/blog/welivesecurity/online-open-or-mobile-banking-securing-our-many-money-management-options-1/