～ネットバンキングにおける不正送金"ゼロ"を目指して～
次世代認証ソリューション！！（マルチファクター＆2経路認証）

今回ご紹介する製品は、ネットバンキングをより安全に利用してもらうためにKeypasco社が開発したOTP（One Time Password）などに代わる次世代認証ソリューションです。
さらに、IoT（Internet of Things）、マイナンバー、フィンテックの認証への応用も可能です。

インターネットバンキングにおける課題

インターネットやモバイル端末などの普及に伴い、インターネットを使った銀行、ショッピングサイト、動画配信サイト、ゲームサイトなどをどこからでも利用できる便利な世の中になったことは否定できません。それに伴い、悪意のある人にとっても好都合な状況になりました。例えば、メールやWebサイトなどを利用してマルウェア（悪意のある不正ソフト）をユーザーに送り込み、気づかれないようにお金を奪うことや好きな物を購入したりすることが簡単にできるようになりました。警察庁の報告では、2015年上期（1月から6月まで）のインターネットバンキングにおける不正送金の件数は764件、金額にして15億4,400万円が何らかの方法で悪意のある人の手に渡っています。また、インターネットバンキングによる不正送金の影響を受けた金融機関数は144行あります（図1）。この数字は今後増えていくことが予測されており、各金融機関において大きな課題になっています。

図1：インターネットバンキングによる不正送金被害数
毎日新聞　2015年9月3日版から引用

その対策の一つとして2要素認証を採用している金融機関があります。良く知られているものはOTP（One Time Password）やTokenを利用した方法です。現在最も安全だと言われているのはハードウェアを利用したToken方式ですが、ユーザーの利便性は決して良いとは言えず、提供する側の導入・運用コストなどが掛かるため、一部の大手金融機関でしか採用されていません。しかし、この安全だと言われているハードウェアを使ったToken方式も2014年にマルウェアによる成り済ましや改ざんの被害が報告されており、各金融機関では次なる策を検討し始めています。

マルチファクター（多要素）&2経路認証について

Keypasco社の「マルチファクター&２経路認証ソリューション」は、OTPやTokenが抱える課題を解決した、これからの時代に必要不可欠な認証ソリューションです。すなわち、セキュリティ強度はTokenより高く、利便性も高く、さらに提供者側の導入・運用コストも下がるなど、利用者側・提供者側の双方がメリットを得られます。その前提になる開発コンセプトは非常にシンプルで、 “自分のユーザーIDとパスワードは自分の端末からのみ機能”するということです。これを実現するためにセキュリティに関して20年以上の経験とノウハウを持った人間が研究・開発したのが、マルチファクター認証と2経路認証です。これにより現在考えられる不正送金の原因であるフィッシング攻撃、MITB（Man In The Browser）攻撃、 MITM（Man In The Middle）攻撃などが起きても利用者は安全に自分の口座にログインでき、振り込みなどができるようになります。この認証ソリューションは複数の特許^*1に裏付けられた技術を用い、ユーザー認証、デバイス認証、近距離通信端末認証、位置情報認証、リスク管理機能の5つの要素（マルチファクター）を使って自分の端末からしか認証できないことを実現しています。例えばデバイス認証機能では、クライアントソフトウェアがデバイスの端末情報として、 CPUのシリアル番号、メモリサイズ、画面サイズやインストールされているソフトウェアなどの情報を収集し、Keypascoサーバー上で管理します。これらの情報には固定の物とインストールされたソフトウェアなどのように可変な物がありますが、独自のアルゴリズムを用いてスコアリングを行い、利用者の端末であることを認証します。仮に端末が複製され海外からアクセスが試みられても、位置情報が異なるため認証されません。

また、ほとんどのインターネットバンキングでは認証経路は利用者と銀行サーバー間の経路（第一認証経路）のみですが、このソリューションは新たに利用者とKeypascoサーバー間の認証経路（第二認証経路）を設け、第一認証経路が攻撃されても第二認証経路により安全性を担保しています。第二認証経路は完全にトンネル化されており（SSL/TLSおよびKSP（Keypasco独自の暗号技術）を使い2重化している）完全性を担保しています。このようにマルチファクター認証と2経路認証を組み合わせることにより、現時点で考えられる攻撃を防げる唯一のソリューションだと言えます。

製品構成について

本ソリューションは以下の3つから構成されています。

1. ICPサーバー：銀行が提供しているサーバーにKeypascoが提供するAPIを組み込む。
2. Borgenサーバー：ソフトウェアもしくはクラウドサービスにより提供。
3. Vaktenクライアント：ユーザーのパソコンやモバイル端末で利用するクライアントソフトウェア。Borgenサーバーとの通信、端末情報を収集するのに利用。

振り込みなどのトランザクションを実施している場合のデータの流れを図2に示します。デスクトップPCから利用者が既に登録してあるアカウントにログイン後、振り込みなどを実施する例です。Vaktenクライアントはモバイル端末とデスクトップPCにインストールされています。

*1：特許取得国：台湾、中国、アメリカ、韓国、インド、EU、ブラジル、日本（3つの特許取得済み）

図2：「マルチファクター&2経路認証」の概念図およびログイン時の動作概要について

さいごに

今後の展望として、クレジットカード決済を使ったインターネットショッピング、インタネットゲーム、今後普及が予想されるIoTやフィンテック^*2への応用が見込まれます。

Keypasco社は、スウェーデンに本社を置くグローバル企業です。2014年、Frost＆ Sullivan*³による「Secure Authentication」分野の「Product Innovation Leadership Award 」を受賞しています。Frost＆ Sullivanは、Keypasco社のことを『モバイルセキュリティにおける21世紀の真のパイオニアである。』と述べています。

*2：フィンテックとは金融と技術を合わせた米国発の造語。日本経済新聞2015年10月25日版から引用
*3：米国の市場調査会社