日本証券業協会が不正アクセス防止に向けた指針策定へ 証券会社が取るべき対策とは ~前半~

日本証券業協会が不正アクセス防止に向けた指針策定へ 証券会社が取るべき対策とは ~前半~

フィッシング対策協議会が今月発表したデータによると、2020年のフィッシング報告件数は過去最多の32,171件となりました[1]。不正に取得した個人情報が、不正アクセスや送金につながり、2020年は金融業界でもサイバー犯罪の大きな被害が度々取り上げられました。

12月中旬、日本国内の証券会社によって組織される日本証券業協会の会長が行った会見の中で、「証券業界における不正アクセス等防止に向けた取組みについて」の指針を策定する旨の発表がありました[2]。これは同年9月に、証券会社に対して連続して起きた不正アクセスにより、顧客口座の情報が流出したり、なりすまし口座に1億円近い資産が流出したりしたことを受けたものと考えられます。

防止策として挙げられた項目によると、昨年全銀協が定めたガイドライン同様の「モニタリング・脆弱性対策・情報管理」が盛り込まれる見通しです。そこで今回は前後編に分けて、前半で「モニタリング」について詳細を解説し、後半で防止策の各項目について解説していきます。

証券会社が取るべき対策=モニタリングとは

証券会社が狙われた上記の不正アクセスは、下記の流れで行われたと推測されます。

  1. なりすまし犯人が証券会社の顧客口座にログインし、顧客情報を不正入手
  2. なりすまし犯人が顧客情報を元に、本人確認書類を作成し、銀行口座を作成
  3. 再度、該当証券口座に不正アクセスし、顧客の有価証券を売却・換金
  4. なりすまし犯人が作成した不正口座に出金先を変更し出金

上記の通り複数の検知機会があったにも関わらず、不正を発見することができませんでした。現在、証券会社各社の対応としては、出金先口座の変更を不可にする、という対応を取っているケースも見られますが、ユーザにとっては、ユーザビリティが低減している状況と言えます。

フィッシングやなりすまし等による不正アクセスや不正送金を検知・防止するためには、モニタリングが欠かせません。具体的には、全ユーザーの端末やアクセス、行動等のログをすべて保存することが必要です。このデータに基づいて、口座開設やサービス申込時だけでなく、本当に申込者本人が使い続けているかどうかを確認し続けることができます。継続的顧客管理が可能となり、先般のような事件を防ぎ、FATFが求めるマネーロンダリングやテロ資金供与等の不正対策にもつながります。

疑わしい取引のログ管理と、不正モニタリング検知としてのFraudAlert

カウリスのFraudAlert(フロードアラート)を導入すると、全アクセスに関するログを残すことができます。これらのデータから200を超える独自の基準で「本人らしさ」を判定。通常とは異なる本人以外からの不正なアクセスや送金、売却、引き出しなどを検知します。

フロードアラートはすでに銀行、証券会社、クレジットカード会社など、犯罪収益移転防止法(犯収法)の対象である特定事業者への導入実績を多数有し、月間数千万件の口座開設やログインをモニタリングしています。

特徴は、国内で不正利用に用いられたデバイスのデータ情報をデータベース化し、業界をまたいだ不正試行も検知できるようになっていることです。これにより今回の案に示されている「他の業界との連携」にも有用となります。実際に、銀行と証券会社、暗号通貨取引所、FX、電子マネー間での不正送金事案を捕捉し、被害を最小化する実績が出始めています。

口座開設時の本人確認にも

また、同案には「実効性のある本人確認」も盛り込まれています。昨年、eKYCの導入が飛躍的に進みましたが、「本人確認書類」の偽装による口座開設や、入会申込が社会問題になっています。カウリスは現在、電力会社と協力し、銀行やカード会社に対し口座開設や申し込みにおける不正検知のサービスを提供しています。同サービスは、フロードアラート独自のパラメータに加えて、電力会社が保有する設備情報を活用することで、オンラインにとどまらず、より幅広く高い確度で、本人以外による口座開設やサービス申込を検知するものです。下記の通り、すでにお客様と実証が始まっております。

オリエントコーポレーション様|電力設備情報を活用したクレジットカードの不正申込防止に関する実証実験について
https://www.orico.co.jp/information/service/20200622_1.html

楽天カード様|電力設備情報を活用したクレジットカードの不正申し込み防止に関する実証実験について
https://www.rakuten-card.co.jp/info/news/20201215/

不正検知の仕組みにお困りのことがございましたら、お気軽に当社までお問い合わせください。また、『金融財政事情』の「金融犯罪・マネロンを防げ」特集に、当社代表の記事「日進月歩の勢いで巧妙化する金融オンライン犯罪 不正検知プラットフォームで犯罪集団のログイン、マネロンを阻止」が掲載されておりますので、ぜひ併せてご覧ください。

(文/株式会社カウリス 画像/株式会社カウリス)

参考:
[1] フィッシング対策協議会. (2020). 2021/12フィッシング報告状況
https://www.antiphishing.jp/report/monthly/202012.html

[2] 日本証券業協会. (2020). 会長記者会見
https://www.jsda.or.jp/about/kaiken/kaiken_2020.html