ラックは9月15日、国内の金融機関が提供する個人顧客向けインターネット・バンキング・サービスにおけるサイバー金融犯罪対策の調査結果を公表した。これによると、犯罪者が悪用する可能性のある脆弱なポイントが数多く存在していることが明らかになった。

同調査は同社の金融犯罪対策センター(FC3)が2022年5月~7月にかけて、インターネット・バンキング・サービスを提供する都市銀行/地方銀行/ネット銀行など79の国内金融機関を対象として、各金融機関がホームページで公開している情報を収集したもの。

同調査によると、初回申し込み/登録時において、多要素認証を採用していないサービスは38%に上ったという。不正送金の被害に繋がる可能性が高くなるため、強固な認証方式を採用することが重要だと同センターは指摘する。

  • 初回申し込み/登録時における認証方式 出典: ラック

OTP(ワンタイム・パスワード)の利用状況を見ると、全体の19%が採用していない。また採用していても、その利用登録手続において追加認証を実施していない、あるいは追加認証が多要素認証となっていないサービスは合わせて約18%に及ぶ。

  • OTPの採用状況とOTP利用登録時の認証 出典: ラック

送金・振込などの決済時における、ログイン認証とは異なる追加認証に関しては、約44%のサービスでは追加認証に利用できる認証方式をユーザーの選択に委ねており、その中の約78%はセキュリティ強度の弱い認証方式が選択可能だった。

また、認証方式を選択できないサービスは全体の約55%であり、その中には、乱数表やEメールOTPなどセキュリティ強度が比較的弱い追加認証を利用しているサービスが約35%存在した。

  • 送金時における追加認証方式の選択可否と比較的弱い認証の割合 出典: ラック

OTPを採用していても、送金・振込などの決済時に必須としていないサービスは、全体の約10%を占める。OTPを必須化しているサービスの中でも、Eメールでパスワードを通知するなど犯罪者が比較的容易に情報を盗むことができる方式を採用しているサービスは約24%だった。

OTPを採用していないサービスを合わせると約53%が、セキュリティ強度の強くない方式の追加認証を採用しているという。

  • 決済時の追加認証として比較的弱い認証を採用している割合 出典: ラック

今回の調査結果を受けて同センターは、調査対象の中でも一部の金融機関では、犯罪者に突破されるリスクの高い脆弱なポイントが内在している状態だと推測している。

  • 犯罪者に狙われやすい脆弱なポイントとリスク 出典: ラック