米国連邦金融検査機関協議会の「インターネット・バンキング環境下における顧客認証方法」の遵守期限迫る

　

Last Updated:October 8 ,2022

　本ブログでも数回にわたり、インターネット・バンキングを巡る金融詐欺やなりすまし金融犯罪の急増や消費者の利用回避の動きなどを背景として出された標記ガイダンス（筆者注1）の内容や欧米の金融機関の取組み状況について取り上げてきたが、いよいよ標記協議会(Federal Financial Institutions Examination Council: FFIEC)の改訂ガイダンスの遵守期限が2006年12月末日となり、ハードおよびソフトベンダーの売り込み、シンクタンク等によるセミナーの開催等わが国において2005年4月の個人情報保護法全面施行時直前の状況と極めて似ている（“カウントダウン”と言う言葉が一般化している）。
　当然のことながら、9月8日に連邦財務省通貨監督庁（OCC）がさらなる徹底通達を出すなど（筆者注2）、その動きが急速に目まぐるしくなってきている。わが国の金融機関ではATM取引きについてはICチップカードへの切替や生体認証の相互運用化への取組みが進んでいるが、インターネット・バンキングについては、トークン型または複数画面入力による「ワンタイム・パスワード」が主力になっているといえる。ただし、インターネット・バンキング自体の普及テンポが遅いことから本格的な対応はこれからといったところであろうが、金融犯罪の多様化やハイテク化とりわけ個人の金融情報の盗取や振込め詐欺リスクが高まることは間違いなく、ここで改めて欧米の金融機関の対応状況を整理しておく（筆者注3）。

１．米国ロス・キャピタル・パートナーズ（筆者注4）の分析結果
　2006年7月現在で135の金融機関を対象に調査した結果、2006年末までに以下述べるFFIECの要求条件を何がしか充足する予定の金融機関数が69％で、うち16％の機関がリスク調査の段階にあると回答している。同調査では具体的にハードウエアー・トークンの採用を予定する金融機関数が5％である。
　なお、いうまでもなく効率的な認証方法の要件は次の点であるといえよう。
(1)顧客の受容性（使いやすさ、取引内容の透明性）
(2)機器、技術面の性能に対する信頼性
(3)将来の成長性に対する規模の利益の確保
(4)既存のシステムと将来の計画との相互運用性

２．FFIECが要求する具体的多要素認証の方法とは
　FFIEC改訂ガイダンスでは、次のとおりその認証方法が例示的に整理されている。

(1)金融機関と顧客との間の機密情報の共有によるもの
①認証時に答えるため本人しか知りえない知識・情報を必要とするもの（毎月の不動産担保ローンの返済額等）
②本人しか知りえない本人が選択したイメージ（好きな人のイニシャル、好きな本のタイトル等）（筆者注5）
(2)トークン(Tokens)
①USB型トークン端末（デジタル証明付きまたは証明なし）

例示：

②スマートカード（ICメモリーに情報を保管し、第一次的に本人確認を行う専 用 カード）(筆者注6)

例示：

③パスワード作成機能付きトークン（時刻の同期機能付き）（筆者注7）

例示：

④生体認証技術（生物学的特性判断）（指紋、虹彩・網膜、顔のイメージスキャ ン、声紋　キーストローク、手・指の形状、筆跡がガイダンスでは例示されている。）（筆者注8）

(3)非ハードウェア型のローテク・低価格の手段（かつて利用されていた乱数表 (grid cardまたはscratch card)）

(4)電話、電子メール、SMSテキストメッセージをインターネットは異なるチャンネルで送ることで併用による認証の厳格化を図るもの（Out- of-Band Authentication ）

(5)アクセス中のPCの現利用者が特定されるIPアドレス（ただし、同アドレスは顧客個人が常に所有しているものでなく、頻繁に変更されたり時としてなりすまされたりする点が課題）や顧客の地理的位置情報（この点についてもワイヤレスや携帯電話によるインターネット・バンキングでは認証効果が薄れる）

(6)金融機関と顧客の双方がSSL等暗号化によるウェブサイトの真正確認やデジタル署名を使用する相互認証（フィッシング等に有効）

３．多要素認証への対応をめぐる最近時の新たな認証技術の出現
　米国のシテイ・バンクがFFIECの要件を満たすため取り組んだ技術は、詐欺犯捜査ソフトウェア（実際、2006年の税還付申告期間において同技術を利用した米国最大手の税申告代行業者H&R Blockは還付詐欺の阻止に有効であったとしている（筆者注9））の応用形であった。
　この技術の導入に関し、ソフトベンダーが第一に挙げた理由はFFIECのガイダンスへの遵守対応期間が短いことである。その点は別として、この認証方法は前記２．で紹介した技術を一部応用している。最も特徴的な点は顧客の取引振りをリアルタイムでモニタリングし、必要に応じ速やかに顧客に警告をならす点であろう。オンライン取引きのトレースすなわち銀行取引のアプリケーション・プログラムの一部というより、ネットワークのトラフィック・モニタリング技術の進化があってこその対応と言えよう。以下要約してみる。（筆者注10）

(1)金融機関はオンライン・バンキング取引の各セッションの間をぬって、顧客のサイトへのナビゲーシヨンをモニタリングし、動的にリスクのスコアリング(dynamic risk score)を行う。このスコアが一定のレベルを超える場合、直ちに第二段階の認証すなわち電話による照会や取引停止を行う。この場合、顧客に対し、その不審な状況について テキスト・メッセージまたは電子メールを送信する。

(2)このような取引の異常値をリアルタイムでチェクするため、data warehouse(基幹系業務システム（オペレーショナル・システム）からトランザクション（取引）データなどを抽出・再構成して蓄積し、情報分析と意思決定を行うための大規模データベース。) (筆者注11)では顧客の取引プロフィールや疑問点を保管する。実際の顧客のアクセス面では、各金融機関は①グリッドカード、②クッキー(cookie)に基づく端末認証、③ワンタイム・パスワード、④相互認証、⑤Out- of-Band Authentication等より強固な認証技術を使用する。
************************************************************************
（筆者注1）FFIECの改訂ガイダンスは2005年10月12日に発出されている。ガイダンス（PDF版）が添付されている。
また、FFIECは2006年8月15日に前記ガイダンスのFAQsを発刊している。http://www.ffiec.gov/press/pr081506.htm

（筆者注2） 本警告通達ではガイダンスの遵守に伴う顧客の混乱を避けるための顧客への通知内容について対応窓口の強化等も要求している。

（筆者注3）トークン等のついての解説はわが国でも多く見られるので、今回はより多要素認証の概念を広くとらえて説明する。

（筆者注4）Roth Capital Partnersは米国において投資銀行業務、資本市場取引、M&A、市場調査等を行っている企業である。

(筆者注5)英国のAlliance &Leicester銀行が、2006年3月からこの方式を２要素認証方式として導入している。http://www.alliance-leicester.co.uk/internetbanking/index.asp?page=extrasecurity&ct=ibsecurity

（筆者注6）スマート・カードによる２要素認証の例として、スイスのCantonal Bankが2007年に 最大2万人の顧客に対し無料でEMV対応携帯用カードリーダーを配布する。顧客はまず従来どおり４桁の暗証番号を入力し、その後カードのチップにより組成された８桁のワンタイム・パスコードを入力する。ロイヤルバンクオブスコットランド、Xiringスマートカードリーダーを発行

Xiring smart card reader

（筆者注7）その他英国の大手銀行ではLloyds TSB銀行、Barclays 銀行がパスワード生成型トークンを採用している。しかし、本年7月22付けの本ブログで紹介したとおりシテイ・バンクは、「Man in-the –middle –attack」攻撃によりワンタイム・パスワード生成型トークンの脆弱性をつかれフィッシング被害にあうというリスクが顕在化した。

（筆者注8）わが国の日本郵政公社や一部銀行で利用が始まっている指や手のひら静脈認証（vein pattern authentication ）はガイダンスでは直接明記されていないが、認証技術として技術的には一定以上に評価されるものといえよう。しかしながら、顧客の受容度といった点でなお抵抗があり利用者数は急増とはいえないのが現状であろう。

（筆者注9）H&R Blockは税金コンサルタント業だけでなく、不動産ローン、銀行、個人年金アドバイスなど手広い。皮肉にも2009年3月15日に同社はニューヨーク州司法長官から約50万人の低所得者層のうち約85%の顧客の個人年金を詐欺的に販売し、結果的に顧客に損失を与えたことを理由として起訴された。起訴状によると罰金および払戻し額の合計は2億5千万ドル（約292億5千万円）と報じられている。http://www.msnbc.msn.com/id/11839807

（筆者注10）詐欺的インターネット取引きモニタリング・ソフト（real time risk scoring）の発想については、最近読んだスタンフォード大学のフリーウェア「SpoofGuard」を思い出した。まだ、インストールしていないが、ユーザーが設定するセキュリティレベルのパラメーターに基づき、新規ウェブへのナビを行う際にチェックを行い、そのブール演算子の結果をユーザーがあらかじめ設定した警告レベルを越えると、フラグがたち偽サイトにアクセスしないようユーザーに警告を送る。詳細は以下のURLを参照されたい。
　http://crypto.stanford.edu/SpoofGuard/

(筆者注11) http://www.atmarkit.co.jp/aig/04biz/dwh.htmlから引用。

〔参照URL〕
http://www.bankinfosecurity.com/articles.php
******************************************************************************
Copyrights ＠2006 芦田勝(Masaru Ashida ) All rights Reserved