被害総額29億円にのぼる不正送金を「クイズ」で防止!
「クイズ型取引防護システム・メール版」を提供開始
~メールで届くクイズに答えるだけの、誰でも使える不正送金対策~
セキュリティソフト開発・販売のパスロジ株式会社(本社:東京都千代田区、代表取締役社長:小川 秀治、以下 パスロジ)は、メールで受信したクイズに回答するだけで不正送金を防止する「クイズ型取引防護システム・メール版」の提供を開始いたします。当システムは、当社が取得した特許「クイズ認証」(特許番号:特許第5670001)を利用しております。
2014年中のインターネットバンキングにおける不正送金(※1)の被害額は、約29億1,000万円(※2)と大幅に増加し、利用者と金融機関を脅かす大きな問題となっております。主要な金融機関は対策として「トランザクション署名方式(※3)」の導入を進めておりますが、電卓型の専用デバイスが必要で、使用方法が分かりにくく、手間もかかるため、利用者に理解を強いるような運用となっております。また、専用デバイスの配布コストが発生するため、希望者のみに限定した、オプションサービスとして運用している状況です。
このような「ITリテラシーが高い人だけ」、「希望者だけ」を対象とした限定的な対策では、本来守るべき一般の利用者が、不正送金のターゲットとして取り残されてしまいます。
そこで、パスロジは、「メールで届いた穴埋めクイズに回答する」だけで不正送金を確実に防止できる対策「クイズ型取引防護システム・メール版」を開発いたしました。当システムは、どなたでも理解でき、手間もかからないため、すべての利用者に適用することができます。
また、金融機関にとっても、専用デバイスが不要で、既存システムへの変更部分も少ないため、低コストでの運用・導入が可能です。
※1:不正送金の手口については、後述の「参考:不正送金の手口について」をご参照ください。
※2:2015年2月12日発表の警察庁広報資料「平成26年中のインターネットバンキングに係る不正送金事犯の発生状況等について」より
※3:電卓型の専用デバイスに振込先の口座番号を入力すると、その取引専用のコード番号が生成・表示され、そのコード番号をブラウザ上で入力することで認証する方式。その問題点についても後述します。
■「クイズ型取引防護システム・メール版」概要
利用者がパソコンのブラウザなどで振込操作を指示すると、取引防護システムから、振込先の口座番号や金額などの取引情報を一部欠損させた穴埋め問題と、その欠損部分を補う回答の選択肢を表示した電子メールを受信します。利用者は、正しい回答の選択肢にふられた確認番号をインターネットバンキングの画面で入力することで、送金操作を完了します。もし受信した電子メールの内容が、利用者が指示した取引と合致しない取引情報であれば、取引情報が偽装されている可能性があると判断できます。
■「クイズ型取引防護防止システム・メール版」の特長
当システムは、利用者にも金融機関にもメリットとなる下記のような特長を備えております。
【利用者のメリット】
1:選択式クイズに回答するだけの、どなたにも簡単で分かりやすい方式
2:使用手順は、受信した電子メールを確認し、確認番号を入力するだけ
3:2経路認証(※4)とクイズへの正確な回答が必要なため、不正送金を確実に阻止
4:専用デバイスの管理・所持が不要
【金融機関のメリット】
1:電子メールを使用するため、すべてのインターネットバンキング利用者に提供可能
2:専用デバイスを使用しないため、利用者への提供が低コスト
3:当システム導入における既存システムへの変更は2箇所以下であり、速やかな導入が可能
4:導入期間においては、既存システムとの併用が可能
以上の特長によって、ユーザビリティ・コストパフォーマンス・防護確実性のすべてを備えたシステムとなっております。
また、電子メールの受信の代わりに、当社がiOSとAndroidにて提供中のスマートフォン用アプリ「PassClip -パスクリップ-」(※5)上にクイズ画面を表示することも可能です。
※4:取引に使用している端末だけでなく、別の端末(経路)でも認証を行う認証方式
※5:PassClip公式サイト:http://www.passclip.com/ja/
■「クイズ型取引防護システム・メール版」
提供形態 :サーバソフトウェア(API提供)
予定販売価格 :1ユーザにつき月額10円(月額10万円より)
■参考:不正送金の手口について
不正送金の手口として下記のような事例が確認されております。当社の「クイズ型取引防護システム・メール版」では、いずれの手口も防止可能です。
・MITB(マン・イン・ザ・ブラウザ)攻撃
パソコンにマルウェアを侵入させ、利用者が送金操作を行う際に、その送信内容を改ざんし、利用者が意図した口座とは別の口座への送金を行う。
・MITM(マン・イン・ザ・ミドル)攻撃
利用者と銀行の間の通信に介入し、通信中のデータの改ざんし、利用者が意図した口座とは別の口座への送金を行う。
・ウェブインジェクション攻撃
送金手続き中に、ブラウザ上に表示された文言や画像の改ざん・追加や、ポップアップなどで、利用者の操作を誘導し、ログイン情報や取引情報を詐取する。
■参考:トランザクション署名認証の問題点
当社では、トランザクション署名認証には下記の問題点があると考えております。
・専用デバイスが必要なため、利用者には管理コストが、金融機関には配布コストが発生
・使用の際、専用デバイスへの口座番号入力とブラウザ上でのコード番号入力の2手順が必要で直観的ではない。
・端末が乗っ取られていた場合、前述の「ウェブインジェクション攻撃」により、専用デバイスに異なる番号を入力するように誘導される危険性がある。
【パスロジ株式会社 概要】
所在地 :東京都千代田区神田小川町3-26-8 常和神田小川町ビル
設立 :2000年2月24日
資本金 :1億円
代表取締役社長 :小川 秀治
URL :https://www.passlogy.com/
事業内容 :セキュリティソフトウェアの開発・販売
【報道関係者・各事業者からのお問い合わせ先】
パスロジ株式会社
担当:光野(みつの)・黛(まゆずみ)
TEL:03-5283-2263
E-Mail:passclip@passlogy.com