Home > ニュース > システムニュース > EMC、トランザクション認証に対応した不正送金対策製品をリリース

EMC、トランザクション認証に対応した不正送金対策製品をリリース

EMCジャパンは6月7日、不正送金に対するリスクベース認証製品「RSA Adaptive Authentication」に、新たにトランザクション署名機能を追加したと発表した。

「RSA Adaptive Authentication」は、利用者のIPアドレス、ブラウザーの種類、時間帯や場所などの利用環境を分析し、不正利用のリスクを判定してリスクベース認証を行う製品。今回リリースした新バージョンの7.3では、不正リスクのある振込み手続きが行われたことを利用者のスマホに通知し、手続き続行の可否を利用者に求めるトランザクション署名に対応した。

日本におけるインターネットバンキング不正送金被害額は年々増加しており、2015年は30.73億円に達した。従来型のフィッシング詐欺に加えて、利用者と銀行間の通信が乗っ取られるMITB攻撃が増えているとされる。

このような状況下、現時点で最も有効な対策と期待されているのが、トランザクション認証機能で、3メガバンクを中心に対策が進められている。

以下に、EMCジャパンのニュースリリースを引用する。

EMCジャパン、トランザクション署名で不正送金のリスクを低減する RSA Adaptive Authentication 7.3を発売
~取引内容の完全性と信頼性の保証を提供~

EMCジャパン株式会社
2016年6月7日

EMCジャパン株式会社(略称:EMCジャパン、本社:東京都渋谷区、代表取締役社長:大塚 俊彦、URL: http://japan.emc.com/)は、新しくトランザクション署名機能を追加し、不正送金のリスクを低減できるようにする「RSAR Adaptive Authentication 7.3(アールエスエー アダプティブ オーセンティケーション7.3、以下 RSA Adaptive Authentication)」の提供を開始しました。インターネットバンキングの振込み手続きを利用者のスマートフォン(スマホ)に通知して応答を求め、不正送金の犯罪被害から預金者を保護します。

インターネットバンキング不正送金被害額は年々増加しており、2015年は前年比6%増の30.73億円でした(*1)。法人口座の被害が増加したことで事犯1件あたりの被害額が上昇しており、被害を受けた金融機関の数も倍増しています。背景には、オンラインバンキングに特化した巧妙なマルウェア(*2)に感染し、利用者が知らないうちに銀行との通信を乗っ取られて振込先を勝手に変更されていることがあげられます。このようなMITB、MITM(*3)と呼ばれる高度な攻撃は、利用者が気づきにくく、利用者による対策だけでは防ぎきれません。

「RSA Adaptive Authentication」は、利用者のIPアドレス、ブラウザーの種類、時間帯や場所などの利用環境を分析し、不正利用のリスクを判定して認証を行います(リスクベース認証)。新バージョンの7.3は、不正リスクのある振込み手続きが行われたことを利用者のスマホに通知し、手続き続行の可否を利用者に求めるトランザクション署名を新たに追加しました。トランザクション署名は、利用者の利便性を低下させることなく、セキュリティを強化し、第三者による不正な振込み操作を利用者自身も見つけることができます。

トランザクション署名では、振込み依頼を受け付けたことを「RSA Adaptive Authentication」がスマホアプリを介して利用者に通知します。通知が利用者に求めるアクションは、リスク判定ポリシー(金額や振込先金融機関など)に基づいて自動的に変わり、手続きに対するセキュリティ強度を高めることができます。スマホアプリでは、スマホ利用者が正規の所有者であることを、PIN(*4)や生体情報(*5)で認証し、アクションに利用者の署名を付けて「RSA Adaptive Authentication」へ返します。  これにより、「RSA Adaptive Authentication」はアクションが利用者本人からのものであることを確認できます。

「RSA Adaptive Authentication」は、トランザクション署名により、銀行と利用者間の通信をマルウェアに乗っ取られて預金を窃取される犯罪被害から利用者を保護し、MITB、MITM機能を備える高度なマルウェアにも有効な預金者保護機能をサービスに提供します。また、ユーザーに新たな負担を与えることなく確認を強化し、振込みの完全性と信頼性の保証を提供します。

価格と提供について

  • 販売開始:2016年6月7日(火)
  • 販売価格:価格は、サービス対象利用者に基づいて算出します。
  • 例)サービス利用者数10万人規模のサイトの場合、利用者単価623円
  • (消費税は含んでいません。年間保守費用が別途、必要です。)

【参考】

  • トランザクション署名を利用して設定できる利用者のアクション例
  • ?振込み内容の通知をスマホで受け取り、手続きの承認、拒否を選択し、モバイル生体認証で
  • 認証し、署名を付けて返答する(*6)
  • ?振込み内容の通知をスマホで受け取り、手続きの承認、拒否を選択し、署名を付けて返答する
  • トランザクション署名を利用しない場合も、下記のアクション設定が可能
  • ?振込み依頼を銀行が受け取ったという通知をスマホで受け取る
  • ?振込み内容の通知をスマホで受け取り、手続きを承認する
  • ?振込み内容の通知をスマホで受け取り、手続きを承認、拒否で返答する
  • *1 平成27年中のインターネットバンキングに係る不正送金事犯の発生状況について
  • https://www.npa.go.jp/cyber/pdf/H280303_banking.pdf
  • *2 金融サービス利用者を標的とするマルウェア「トロイの木馬(Banking Trojan)」。
  • *3 MITM(Man in the middle:中間者攻撃)は通信をハイジャックするオンライン不正行為。MITB
  • (Man in the browser)は、さらにブラウザの設定ファイルを変更して不正なコードを実行させて
  • 振込口座に預金を振り込むオンライン詐欺手法。
  • *4 PINは、予め決めておいた任意の数字や振込金額などを設定可能
  • *5 モバイル生体認証の種類は指紋、眼球の白目部分の血管の形状(EyeprintID)、声紋。
  • *6 生体認証の利用には別途、RSA Adaptive Authentication biometric suiteが必要。

(以下、省略)

 

(参照)EMCジャパンのニュースリリース

http://japan.emc.com/about/news/press/japan/2016/20160607-1.htm