金融機関を取り巻く情報セキュリティ問題の現状とその対策について

Size: px

Start display at page:

Download "金融機関を取り巻く情報セキュリティ問題の現状とその対策について"

わんどよしなが
5 years ago
Views:

1 平成 17 年 12 月 7 日金融庁金融研究研修センターフォーラム金融機関と情報セキュリティ金融機関を取り巻く情報セキュリティ問題の現状とその対策について日本銀行金融研究所情報技術研究センター長岩下直行本資料の内容や意見は発表者個人に属し日本銀行あるいは金融研究所の公式見解を示すものではありません 1

2 1. 相次ぐ金融ハイテク犯罪と利用者の不安の増加 ATM に仕掛けられた隠しカメラインターネットカフェのパソコンに仕掛けられたキーロガー無差別に顧客に送りつけられるフィッシング詐欺メールスパイウェアへの感染によるパスワードの漏洩クレジットカード番号の大量漏洩偽造キャッシュカード被害の拡大 2

3 ( 百万円 ) 1,200 1, 全国銀行協会いわゆる偽造キャッシュカードによる預金等引出しに関するアンケート結果 0 '01 年度 '02 年度 '03 年度 '04 年度金額 19 百万円 16 百万円 300 百万円 975 百万円件数 1 件 4 件 108 件 424 件 ( 件 )

4 偽造クレジットカードと偽造キャッシュカードの被害額の推移 1997 年 1998 年 1999 年 2000 年 2001 年 2002 年 2003 年 2004 年クレジットカード不正使用被害額偽造盗難紛失 ( 単位 : 億円 ) 偽造キャッシュカード不正預金引出額 n.a. n.a. n.a. n.a 注 : クレジットカードは暦年キャッシュカードは年度出典 : 日本クレジット産業協会全国銀行協会 4

5 何故偽造キャッシュカード事件が社会問題化したのか? 偽造カードによる被害額は全国で合計しても高々数億円数百億円の被害となったプリペイドカードクレジットカード等の偽造犯罪と比べればまだその規模は小さいしかしこの事件がセンセーショナルに騒がれるのは他のカード偽造犯罪とは異なり一般の消費者 ( 預金者 ) が被害にあいその損害が補償されなかったという性格によるもの過去の主なカード偽造犯罪偽造対象テレホンカードパッキーカード ( パチンコ用カード ) クレジットカードハイウェイカード被害総額数百億円 (?) 630 億円 105 億円 (16 年のみ ) 288~330 億円主な被害者 NTT 三菱商事 NTT データ各クレジットカード会社損害保険会社道路公団等 5

6 質問 : キャッシュカードを使用することに不安を感じていますか? あまり不安を感じない 8.9% まったく不安を感じない 0.5% ある程度不安を感じる 49.2% わからない 0.3% とても不安を感じる 41.1% 調査概要調査地域 : 全国調査対象 : 男女 20 才以上でキャッシュカードを利用する銀行預金者 ( 有効回答 1034 人 ) 調査時期 : 2005 年 2 月 4 日 ~8 日 ( マクロミル社のネットリサーチ結果による ) 6

7 2. 利用者の不安を解消するためにはどうすればよいか安心安全の4 象限分析で考える安全低セキュリティ高セキュリティ知らぬが仏状態安全で安心利用者が不安を感じない何も心配してません安心危険で不安何も心配してません疑心暗鬼状態利用者が不安を感じるうわっ危ない不安だなあ良く考えればあれも怪しいあれも怪しい不安だなあ 7

8 キャッシュカードを利用した預金取引については従来は潜在的な犯罪のリスクはあったもののそれがほとんど顕現化しなかった ( 社会が安全で犯罪が発生しなかったあるいは犯罪が発生しても利用者に実害が生じなかった ) ため利用者は銀行取引に不安を感じていなかった ( 知らぬが仏状態 ) しかしハイテク金融犯罪が多発し一部の利用者に実害が生じたため利用者が強い不安を感じるようになった ( 危険で不安な状態 ) 8

金融機関が被害の補償を表明し預金者保護法が成立した結果利用者の不安感は鎮まりつつあるしかしまた利用者に実害が及ぶ事件が起きれば不安感は再燃しかねない今後目指すべきなのはかつての知らぬが仏状態に戻ることではなく本当の意味で安全で安心な状態を実現することしかし一歩間違えば

9 金融機関が被害の補償を表明し預金者保護法が成立した結果利用者の不安感は鎮まりつつあるしかしまた利用者に実害が及ぶ事件が起きれば不安感は再燃しかねない今後目指すべきなのはかつての知らぬが仏状態に戻ることではなく本当の意味で安全で安心な状態を実現することしかし一歩間違えば折角セキュリティ対策を講じて安全となっても利用者がそれを信頼しないという疑心暗鬼状態に陥りかねないそうならないためにも利用者に不確かな情報しか与えず安全と錯覚させるのではなくて実効性のあるセキュリティ対策を講じた上で利用者に正確な情報を伝え信頼を勝ち得ていく努力が必要 9

3. 金融機関の情報セキュリティ対策の現状評価偽造キャッシュカード問題現在のキャッシュカードによる預金引出しが脆弱であることはかねて指摘されてきた偽造の容易な磁気ストライプカード 4 桁の暗証番号の限界利用者による不適切な設定運用を排除できないため推定されたり銀行システムの外部で漏洩してしまうリスクがあるキャッシュカードの磁気ストライプ ( 磁気造影剤を塗布した状態 )

10 3. 金融機関の情報セキュリティ対策の現状評価偽造キャッシュカード問題現在のキャッシュカードによる預金引出しが脆弱であることはかねて指摘されてきた偽造の容易な磁気ストライプカード 4 桁の暗証番号の限界利用者による不適切な設定運用を排除できないため推定されたり銀行システムの外部で漏洩してしまうリスクがあるキャッシュカードの磁気ストライプ ( 磁気造影剤を塗布した状態 ) 銀行のキャッシュカードの暗証番号を何にしているのかの調査分野人数内訳分野誕生日電話番号 89 人 (46%) 34 人 (18%) 工夫のない誕生日 53 人 2001 映画のタイトル (1941も) 誕生日をアレンジ 14 人 1568 身長 156.8cmだから家族の誕生日 10 人 4789 名前画数 4 画 7 画 8 画 9 画他人の誕生日 12 人 1425 カードを作った時刻 14 時 25 分自宅 17 人 3612 番地 3 丁目 6 番 12 号実家 11 人 1789 フランス革命彼彼女 3 人 1467 人の世むなし応仁の乱その他 3 人 1134 文化放送受験番号 7 人 (4%) 大学受験と模試の受験 0101 丸井その他出席番号 5 人 (3%) 年 4 組 19 番 0480 民法 480 条 ( 受取証書の持参人への弁済 ) 4126 (4 人 ) ヨイフロ 7777 気分で 1168 ビビンバ 2180 ニイハオ 909 ワクワク語呂合わせ 13 人 (7%) 439 与作 3594 三国志 168 イロハ 9602 苦労人など ( のべ 194 人調査 ) 内訳週刊文春 1995 年 10 月 12 日号より引用 10

11 例えば日本銀行金融研究所で 1999 年 11 月に開催された第 2 回情報セキュリティシンポジウムでは現在のキャッシュカードが認証手段として十分な強度を持たないことが指摘されている (a) 磁気ストライプカードの偽造が容易になっていること (b) 暗証番号の盗用や推定が巧妙に行われるようになっていること等からこれまで大丈夫だったのでこれからも大丈夫と判断することには慎重であるべきと思われる磁気カードよりも安全性の高い IC カードの採用や暗証番号に加えてバイオメトリック認証を導入することについて検討のスコープを広げていくべきであろう 1999 年 11 月に開催したシンポジウムのキーノートスピーチより ( 松本勉岩下直行金融業務と認証技術金融研究 19 巻別冊 1 号 ) 11

12 偽造キャッシュカード問題に際して金融業界は被害を補償することを表明し ATMの引出限度額を引き下げるなど被害を限定する対策を講じたまた犯罪の未然防止対策として ICカード化生体認証の導入等への取り組みを表明したただし実際に対策を実施した先は限られておりまた実施した先についても普及率は高くない金融機関における預金引出しにおいては引き続き磁気ストライプカードと暗証番号による認証が主流でありスキミング犯罪の根は絶たれていない 12

13 インターネットバンキングの利用者認証を巡る問題最近のインターネットバンキングの利用者拡大の背景には利用者認証方式が複雑なものから簡便なものに変更されたことがある 1997 年頃 SET/SECE を利用したインターネットバンキングの開始比較的厳格な利用者認証方式を採用していたが利用者が専用のソフトウエアをパソコンにインストールしたり公開鍵証明書を取得してパソコンに組み込んだりするための作業負担が大きくあまり普及しなかった 2000 年以降 SSL+ パスワード認証方式が登場パソコンにあらかじめ組み込まれている暗号プロトコル (SSL) とパスワードを組み合わせて認証を行う SSL+ パスワード認証方式が主流となり急速に普及した更に最近のインターネットバンキングでは認証手段を二重化しログイン用のパスワードに加えて特に重要な取引に関する操作については乱数表によるチャレンジレスポンス方式による認証が導入されることが多くなっている 13

14 SSL+ パスワード認証方式ある金融機関のホームページにおける説明 : 128bit SSL 暗号化技術の採用インターネット通信時に 128bit SSL という強力な暗号化技術を採用しお客さまの重要な情報を保護しています 128 bit SSL SSL は守秘や認証のためのさまざまな機能を有しているが多くのインターネットバンキングでは暗証番号やパスワードの盗聴を防ぐための守秘機能のみが使われている金融機関側における利用者認証はパスワードのみによって行われる利用者側における金融機関サーバーの確認にはサーバー証明書が使われているもののそれが有効に確認されるか否かは利用者のリテラシーに依存する利用者インターネット金融機関パスワード SSL による暗号化で盗聴を防止パスワードのデータベースにおいて照合 14

15 SSL+ パスワード認証方式の問題点 SSL+ パスワード認証はインターネットバンキングにおいて無権限者による成りすましなどの攻撃を防止し正規の利用者や金融機関自身に損害が生じる事態を回避するうえで十分なセキュリティ対策とはいえないのではないか暗証番号パスワードに対する基本的な攻撃 1 考えられる全ての番号を試してみる (4 桁なら 0000~9999 まで 1 万通り ) 2 パスワードに良く使われる単語を辞書から選び次々に試してみるインターネットバンキングの特殊性 1 世界中からアクセスが可能なため不正行為の監視が難しい 2 コンピューターに指示して大量の試行を繰り返させることができる従来金融機関の店舗内で金融サービスを提供していた頃には問題とならなかった攻撃が現実的な脅威となる金融機関側のシステムでパスワード相違の認証エラーが一定回数を超えると入力を制限するといった防御機構が採用されている場合は? 様々な ID とパスワードをランダムに組み合せて大量の試行を行えば防御機構を回避して ID とパスワードの組み合せを推定できてしまう可能性がある 15

乱数表によるチャレンジレスポンス方式利用者金融機関予め乱数表を作成し利用者に郵送しておく 1 インターネット経由で金融機関のホームページにアクセスし SSL で保護された通信経路からログイン用の固定パスワードを入力するインターネット 2 ログイン用の固定パスワードを認証しシステムへのアクセスを許可する 3 資金振替指図を入力する 5 乱数表を参照し

16 乱数表によるチャレンジレスポンス方式利用者金融機関予め乱数表を作成し利用者に郵送しておく 1 インターネット経由で金融機関のホームページにアクセスし SSL で保護された通信経路からログイン用の固定パスワードを入力するインターネット 2 ログイン用の固定パスワードを認証しシステムへのアクセスを許可する 3 資金振替指図を入力する 5 乱数表を参照しチャレンジに対するレスポンス ( 位置に対応する乱数表の数値 ) を入力する 7 結果通知を確認するチャレンジ (51391) レスポンス (9,9,4,3) 4 チャレンジ ( 乱数表における位置 ) をランダムに生成して送信する 6 当該利用者の乱数表データを照合しチャレンジレスポンスの一致を確認する認証に成功すれば資金振替指図を処理し結果を通知する 16

17 乱数表によるチャレンジレスポンス方式の問題点乱数表を導入する理由 : ある取引における認証データ ( チャレンジと利用者のレスポンス ) が何らかの理由で漏洩してしまい攻撃者に察知されたとしても他の取引の認証におけるチャレンジが漏洩したチャレンジとたまたま一致する確率は低いため攻撃者による成りすましが困難となるという効果を期待したものしかし 1. 金融機関側のシステムにおいて攻撃者が取引入力のキャンセルを繰り返すことによって自分にとって都合のよいチャレンジが出るまでチャレンジの出させ直しを行うことが可能な仕組みとなっていた場合 1 回の取引における認証データが漏洩しただけで成りすましが可能となってしまう危険性 2. 攻撃対象者を次々に変更しながら当て推量の入力を繰り返す攻撃により認証エラーが一定回数を超えたら入力を制限するという防御機構を回避して乱数表の一部のデータを推定できてしまう危険性などが指摘されている ( 松本勉岩下直行インターネットを利用した金融サービスの安全性について金融研究 21 巻別冊 1 号 2002 年 ) 17

18 銀行の情報システムの基幹である勘定系システムはインターネット技術ではなくレガシー技術で動いているためインターネットバンキングのセキュリティを巡る問題は銀行システムのセキュリティ問題としては低い順位となってしまう傾向があるしかし根幹にレガシー技術を利用していたとしても顧客とのインターフェース部分にはインターネット技術が利用されているインターネットバンキングファームバンキングにおけるフィッシング詐欺スパイウエアやキーロガー等への対策も後追い状態そもそもパスワードが漏洩してしまうと巨額の不正送金が可能となるというシステムの仕様自体が問題利用者へのワンタイムパスワードの配付など抜本的な対応が必要ではないかこの間海外では大口金融取引のシステムを舞台にした数百億円単位の不正送金未遂事件も発生しており金融機関経営の観点からも金融ハイテク犯罪を深刻なリ18 スクとして認識する必要が高まっている

19 4. 適切な情報セキュリティ対策を選択するために従来はカードは偽造しにくく暗証番号も漏洩しないという立場暗証番号の漏洩がありうるカードを偽造しにくくすれば良い IC カード化 IC カードも偽造される可能性がある認証方式の高度化ハードウエアの改良カードの盗難にも対処しなければならない生体認証の利用生体認証も偽造される可能性がある生体検知機能の付加こうした対策についてどの段階まで対応することが適当か実際に犯罪が発生するリスクビジネスとしての採算性レピュテーション上の問題等を考慮して各金融機関が立ち位置を定めていく必要があるその場合望ましい対策のあり方の基準をどこに求めるべきか? こうした観点からは ( 相対的に金融機関をターゲットとしたハイテク犯罪の事例の多い ) 海外の金融機関における取り組み事例や金融機関のセキュリティ対策に関する国際標準が参考になる 19

20 金融技術の国際標準化国際標準化機構金融専門委員会 (ISO/TC68) は金融分野で利用される情報通信技術の国際標準化を担当する委員会であり預金者の安全確保金融システムの安定のために金融機関が採用すべき適切なセキュリティ対策等について国際標準の審議検討を行っている 1947 年設立の非政府間機構本部ジュネーブ 148 か国が加入分野毎に専門委員会 (TC: Technical Committee) を設置現在 188 の専門委員会が活動中国際標準化機構 (ISO) 国際標準化機構金融専門委員会 (ISO/TC68) 金融サービスを対象とする専門委員会金融業務に利用される情報通信技術の国際標準化を担当 SC2 情報セキュリティ暗証番号 (PIN) の保護暗号技術電子署名 PKI セキュリティマネシメント webサーヒスのセキュリティ生体認証 SC4 証券業務証券コード (ISIN) 国際企業コート (IBEI) 証券取引メッセーシフォーマット SC6 リテール金融カート決済電文フォーマット IC カードのセキュリティフライハシー影響評価 ISO 9564: 銀行取引カード ( キャッシュカートクレシットカートテヒットカート ) などと共に利用される PIN についてその設定保管入力送信等に関する一般的なルールを取り決め PIN を送信する場合トリプル DES による暗号化を義務付け SC7 コア銀行業務通貨コード国際銀行口座番号 (IBAN) 銀行識別コード (BIC) 磁気インク文字認識 (MICR) 20

21 5. 利用者の協力を得ることは不可欠セキュリティ対策は足し算ではなくて掛け算で効いてくる金融機関側が万全の対策を講じていても利用者の不注意により被害が発生し得る逆に利用者が細心の注意を払っていても万一金融機関側の対策に見落としがありそれが突かれれば被害が発生し得るこのためセキュリティ対策には利用者の協力が必要もし利用者が銀行なら補償してくれるからという認識でいるといずれは行き詰ってしまう 1セキュリティレベル 2 利用者の管理負担 3システム構築コストにはトレードオフの関係がある金融機関がビジネスとして金融サービスを提供する以上システム構築コストには限界があるのだから利用者にも一定の管理負担を求めていかないと必要なセキュリティレベルを確保できない預金者保護法の下で利用者に適切な管理負担を担って貰えるようなルール作りが今後の重要な論点となる 21

22 6. おわりに金融機関も眼力を磨こうかつてはわが国の金融業界でセキュリティ侵害が発生してもそれが公になることは稀であったしかし最近は金融機関のセキュリティへの関心が高まりそうした事例が大きく報道されるようになったまた従来金融機関では大型コンピュータによる重厚長大型の情報技術が利用されてきたこのためシステムの安定性やセキュリティは予め保証されているものであったしかし情報化が進み人々が接するシステムが複雑化多様化した結果セキュリティ侵害の隙が増えてきたこうした変化は不可逆的なものであり金融機関もこうした変化に対応していく必要がある海外では暗号技術 IC カード生体認証技術等について銀行が採用していることが信頼の証とされている一方日本ではどうか金融機関はそのように認識されるだけの情報セキュリティ技術に対する眼力を持っていると認識されているだろうか金融機関は情報セキュリティ技術の大口ユーザーなのだからその適切な利用を行うために情報セキュリティ技術の分析と評価に経営資源を割り当て専門家を育成していくことが必要ではないだろうか 22

15群(○○○)-8編

15群(○○○)-8編 11 群 ( 社会情報システム )- 7 編 ( 金融情報システム ) 3 章インターネットバンキングのセキュリティ ( 執筆者 : 岩下直行 )[2009 年 3 月受領 ] 概要インターネットの急速な拡大を背景に, インターネットを利用して金融サービスを提供する金融機関が増えている. 特に, インターネット経由で, 銀行預金の残高確認や振替を行うインターネットバンキングと呼ばれるサービスは,