ラックはこのほど、オンラインイベント「LAC Security Day 2024」を開催した。同イベントは、サイバーセキュリティの最前線に立つ同社のキーパーソンが注目すべき最新トピックを紹介するもの。

本稿は、金融犯罪対策センター長の小森美武氏によるセッション「AIを駆使した最先端のサイバーセキュリティ 金融犯罪ゼロへの道のり」のポイントをお届けする。

2023年1月~11月までのインターネットバンキングにおける不正送金の被害額は前年比5倍を超える80億円に達しており、過去最悪の結果となった。被害の大半はフィッシングによるものだという。どうしたらわれわれはフィッシングから身を守ることができるのだろうか。

  • ラック 金融犯罪対策センター長 小森美武氏

極めて深刻な金融犯罪の被害状況

小森氏は、金融犯罪の被害状況として、フィッシング、インターネットバンキングにおける不正送金、クレジットカードの不正利用、特殊詐欺の被害状況を紹介した。

フィッシング

フィッシング対策協議会の発表によると、2023年のフィッシングの報告件数は1,196,390件と過去最多を記録した。2023年10月には、過去最高の15.7万件の月間報告件数も記録している。

7月~12月の報告件数はどの月もEC系が最も多く、次いで、クレジット信販系が毎月第2位か第3位にランクインしている。一方、標的ブランド数はクレジット信販系が毎月首位となっており、第2位と第3位は通信事業者・メールサービス系と金融系が交互にランクインしている。

インターネットバンキングにおける不正送金

前述したように、2023年1月~11月までのインターネットバンキングにおける不正送金の被害額は80.1億円と前年比5倍を超え、過去最悪となった。

  • インターネットバンキングに係る不正送金:被害件数・被害額 資料:ラック

クレジットカードの不正利用

クレジットカードの不正利用(番号盗用)の被害額は、2022年の411億円に対し、2023年1月~9月で376億円となっており、前年と同程度に推移していることがわかっている。

特殊詐欺

オレオレ詐欺や還付金詐欺など10の詐欺に分類される特殊詐欺の被害額は、2022年の370億円に対し、2023年11月の時点で382億円と前年を上回る結果となっている。

小森氏は、預貯金詐欺、還付金詐欺、キャッシュカード詐欺と、ATMを舞台とした不正出金の被害額が102億円と被害額の30%弱に達していることを指摘した。

注意すべき3種類の金融犯罪の手口

小森氏は、最も脅威であるフィッシングの手口として、「リアルタイムフィッシング」を挙げた。リアルタイムフィッシングとは、OTP認証などを突破するために、リアルタイムで認証情報をだまし取るもの。

OTP認証は使えるのは一度だけ、かつ一定時間のみ有効なコード(OTP)を発行し、利用者に入力させる本人認証方式。OTPを奪取することは難しいため、不正送金防止に役立つと考えられてきた。

しかし、リアルタイムフィッシングでは、フィッシングサイトにOTPを入力させる画面を表示し、OTPを窃取してすぐに(リアルタイムで)利用することで、正規サイトへの不正ログインを試みる。フィッシングサイトで詐取した情報を正規サイトに自動入力するツールまで存在するという。

  • リアルタイムフィッシングの仕組み 資料:ラック

次に驚異であるフィッシングの手口として紹介されたのが「SIMスワップ」だ。これは、フィッシングにより詐取した情報をもとに偽造身分証を作成し、SIMカードの再発行を行うことで携帯電話番号を乗っ取るもの。乗っ取った電話番号で認証を突破する。

ただし、携帯電話会社が強化策を講じたので、2023年に入ってからは減少しているとのことだ。

さらに、小森氏は注意すべき金融犯罪の手口として、サポート詐欺を挙げた。サポート詐欺とは、インターネットを閲覧中に偽のセキュリティ警告を表示し、金銭だましとろうとする犯罪。

サポート詐欺は2022年後半より増加しており、ウイルス検出の偽警告に関するIPAへの相談件数は2022年が2,365件だったのに対し、 2023年は4,145件と大幅に増えている。

被害者に偽のサポート料を振り込ませるだけでなく、ウイルス除去と偽り遠隔操作ツールをインストールさせることで、サポート料振込の操作指示を行うなど、手口は巧妙化しているという。

金融犯罪対策のポイントとは?AI活用の課題は?

小森氏は、こうした金融犯罪対策においては、「予防」 「検知」 「対処」 の観点からさまざまな対策を組み合わせた 「多層防御」が重要と指摘した。

  • 金融犯罪対策における多層防御 資料:ラック

多層防御をフィッシング対策に当てはめると、「予防」としては「なりすましメール対策(SPF、DKIM、DMARC)」や「国内接続事業者からのSMS配信」などが対策となる。「検知」としては「メール監視(バウンスメール、DMARCレポート)」「アクセス・取引状況のモニタリング」などが対策となる。「対処」としては「フィッシングサイトテイクダウン」「被害者への対応」などが対策となる。

  • フィッシング対策の多層防御 資料:ラック

また、小森氏は「予防は突破されているので、検知が重要になっている。特に今後は、高度な不正取引検知が有効になる。ルールベースの検知は突破されており、AIを活用した高度な検知が必要」と述べ、AIを活用した検知の必要性を訴えた。

ただし、AIによる不正取引検知は、偏ったデータにおいて判定するのは不得意という課題を抱えているという。小森氏氏は「不正取引のデータは全体からみたらわずかであり、AIが得意ではない領域 」と指摘した。

そこで、ラックが提供しているAIを活用した不正取引検知サービス「AIゼロフラウド」では、真正取引のデータを間引き、不正取引のデータをカサ増しすることで、AIが学習しやすいようデータ量を調整しているという。

また、AIには、学習データの傾向や犯罪パターンのクセ(特徴量)を適確に捉え、AIモデルに反映することで精度を向上させる必要性もある。

そこで、ラックは犯行手口の傾向やクセを見抜き、その特徴をAIエンジンのチューニングの際に反映することで、精度の高い分析を実現しているほか、最先端のAI技術を適用し、データ特徴量と適用アルゴリズムの組み合わせを網羅的に検証しているという。