行動的生体AI認証「BioCatch」の事例から学ぶAML・金融犯罪への対策
大手金融機関50社の最新事例にみるFATF対応、マネーロンダリング対策、なりすまし防止
シティバンクやAmerican Express、HSBCが活用する新しい認証方式とは――
利用者のマウス操作やキーボード入力など、操作の"クセ"を分析して認証に利用する「行動的生体認証」が注目を集めています。
利用者に負担をかけずに安全性を高めるだけでなく、犯罪者の操作方法を分析することで不正な口座開設や疑わしい送金などを未然に防ぐことも可能です。
特に、昨年8月にはFATFによる第4次対日相互審査報告書が公表され、マネーロンダリングを防止する必要性がより高まってきました。
では、実際にどのように活用されているのでしょうか。
本セミナーでは、シティバンクやAmerican Express、HSBCをはじめ欧米50社以上の大手金融機関の先行事例を紐解き、
実業務への活用や効果が解説されました。
開催概要
名称:デジタルバンキング展(DBX2022)
主催:日本金融通信社(ニッキン)他
日時:2022年2月3日(木)、4日(金) 両日:9時30分~18時
※本セッションに関しては2022年2月4日(金)13:30 – 14:20
会場:ステーションコンファレンス東京
とうとう日本にも… 急増する不正送金被害
まず冒頭、本セッションの講師を務めたSCSKの硲(はざま)氏より、インターネットバンキング不正送金被害の現状について語られました。
近年の最大被害額は24億円にものぼる
.png)
SCSK株式会社
硲 公志 氏
「こちら金融庁が公開しているインターネットバンキング不正送金被害額をグラフ化したものになります。」(硲氏)
みせられたのは2017年から2020年までの被害額の推移で、その被害額は2019年には24億円にものぼり近年増加傾向にあるといいます。
「近年の日本でも大手企業が不正送金の被害者になるというニュースが増えています。では現在日本ではどのような手法が流行っているのでしょうか。」(硲氏)
硲氏は不正送金の手口として、フィッシング、クラウドサービスへの不正アクセス、ウイルス感染の3つを挙げ、各手口の攻撃例と、その巧妙かつ高度な手法について警鐘をならしました。
利用者自身で不正アクセスを実行!?
なかでも不正アクセスの傾向として、今後日本でも広まるであろう巧妙な手口について語られました。
「最近、非常に増えてきているのが、利用者を騙して利用者自身の口座を操作させる手口です。例えば銀行員を装って、『 宝くじが当選しました。』また、公共の職員を装って、『 調査にご協力ください。』というような案内をして口座にアクセスを促します。こういった手口の不正の検出が難しくなっているのは、利用者自身が本人の端末を使って自分の口座にアクセスしているだけなので、いたって普通の行動であり、そこに不正を疑う余地が発生しないという点です。」(硲氏)
ログイン完了後、犯罪者は何らかの理由を作り、利用者をパソコンの前から離れさせ、リモートアクセスツールを使い、振込手続きを勝手に進めるというパターンの他、直接利用者に指示を出し、犯罪者が利用する口座に振り込みを行わせるという手口もあるといいます。
「このような手口は、セキュリティ対策として広く使われている、ワンタイムパスワード、デバイス認証、IPアドレス制限、位置情報、端末情報の収集による認証をもってしても、防ぐことが非常に難しいということがおわかりいただけると思います。」(硲氏)
気づかないうちに犯罪者に?! マネーミュールの脅威
続いて語られたのはマネーミュールの現状でした。
マネーミュールとは、犯罪と知らずに不正資金の送金を代行し資金洗浄に加担してしまう手法のことで、海外を中心に非常に増加傾向にあるといいます。
「インターネット上で、アルバイト募集というような形で協力者を募ります。かなり割の良い仕事に見えますので、マネーロンダリングに自分が加担していることを認識せず、お金欲しさに応募してしまうという人が多いです。コロナ禍で失業する人が増えている背景も伴い、それに比例するようにこのタイプの手法が使われるケースが増加傾向にあります。」
「BioCatch社によると、ミュールアカウントの90%以上が直接犯罪者に利用されており、2021年そのアカウントの活動は昨対比で78%増加したというレポートが出ております。FATFの第四次審査のレポートでも対応方針を公表しているように、マネーミュールへの日本の対策も、今後一つのキーワードになっていくでしょう。」(硲氏)
人の『クセ』から なりすましを見抜く「行動的生体認証」とは?
一致させるのは「顔」でも「指紋」でも「音声」でもない
では巧妙かつ、検知の極めて難しい不正アクセスや不正利用の手口に対して私たちはどう対応していくべきなのでしょうか?
ここで有効な認証方法として「行動的生体認証」について語られました。
「行動的生体認証は人の動作を分析し特徴点(クセ)を用いて本人確認を行う手法です。皆さん驚かれるかもしれませんが、パスワードや、静脈、顔認証など、静的な認証情報はコピーができてしまいます。またIPアドレスや端末情報を使って認証をおこなわせるようなものも、端末が盗まれてしまえばその影響は大きいでしょう。ですが、行動的生体認証は人の動作を総合的に分析しておりますので認証情報をコピーされるリスクは非常に少ないといえます。」(硲氏)
キーワードは「フリクションレス」
既存の認証との比較としてもう一つ挙げられたのは、フリクションレスというキーワードでした。
フリクションレスといえばマーケティング領域では顧客体験をスムーズにするという意味で使われていますが、認証においてもまさにそれが適うと硲氏は語ります。
「行動的生体認証を取り入れても、利用者は認証を意識することはありません。パスワードの入力が必要ないのですから。よってサービスの利便性向上につながるでしょう。」(硲氏)
高度な分析エンジンを持つ「 BioCatch 」
今後、新たな本人認証として急速に広まるであろう行動的生体認証ですが、具体的にどのような仕組みにおいてそれを実現させているのでしょうか。ここで海外の金融機関、50社以上導入実績をもつ BioCatch についての紹介が行われました。
「 BioCatch は利用者の『クセ』を分析してなりすましを見抜く行動的生体AI認証を用いたソリューションです。例えば利用者がインターネットバンキングにログインしてからログアウトするまでのワンセッション間の操作情報を収集して、分析エンジンにかけてプロファイルを作成します。このプロファイルと実際にアクセスしている操作情報とのマッチングから乖離があれば、リスクスコアいうもので、0点~1000点内でスコアリングして、犯罪者が利用者本人になりすまして操作を行っているかどうかを判定します。」(硲氏)
収集するのは、利用者の操作情報のほか、アクセス元のIPアドレスや位置情報、端末情報等、最大で2000項目以上。そして分析では47もの特許技術を取り込んだ高度なエンジンを利用しているといいます。
「実装方法もシンプルでWebページの各画面に、Javascriptを埋め込みます。スマートフォンであれば、SDK採用されておりますので、金融機関様のアプリに取り込んでいただくのみです。利用者の方に対して新しくソフトのインストールをお願いしたり、パスワード入力を求めたりということはありませんので、利用者は BioCatch の存在を意識することなく、いつも通り変わりない環境でお使いいただけます。」(硲氏)
また BioCatch の分析エンジンはSaaSで提供されておりクラウド上にありますが、ご契約会社様ごとに専用のテナントが準備されており、収集した情報が一元的に保管されるのではなく、各社個別に保管される設計となっているのもポイントの一つだといいます。
犯罪者の特性を見抜く機能
BioCatch の提供機能は大きく4つあります。(※以下図参照)どの機能に関しても、先に触れた「利用者の『クセ』」を利用していくものですが、実際どのようなポイントを見分けているのでしょうか。
まず1つ目の Account TakeOver Protection 機能では、利用者本人の操作情報をもとにプロファイルを作成し、形成されたプロファイルとの比較により個人の特定を行うことができるといいます。
「例えば、普段右手を使っている人が左手で操作をしている。マウスの操作情報が普段の利用者の操作傾向から乖離している。通常使っているブラウザと違うブラウザでアクセスが確認されたなどの操作情報を収集していきます。図のリスク判定要素にもあるような、様々なものをスコアリングし分析しています。」(硲氏)
主なリスク判定要素の例
※
※RATは、管理者権限を保持しコンピュータを遠隔操作できるようにするツール。バックドア型のマルウェア(リモートアクセス型トロイの木馬)を指すことが多い。
「2つ目の Account Opening Protection の機能を見ていきましょう。こちらは不正な新規アカウント開設を検知する機能で、ウェブの申し込みページに必要項目を記入する際の操作情報を犯罪者ペルソナとの比較によって分析しています。短期間に複数端末でセッションを張っている、個人情報を入力するのに、コピー&ペーストで対応しているなど、犯罪者は犯罪者らしい行動特性をもっていますので、そういったペルソナに当てはめてスコアリングし分析しています。」(硲氏)
続いて3つ目の Social Engineering Scam Detection が紹介されました。
「皆さんオレオレ詐欺をイメージしてみてください。海外ではATMではなく、インターネットバンキング使って振込を行わせるケースが多いようです。利用者を騙したり、強要して操作をさせるというものですね。」
「例えば操作者が口座契約者本人であって、信頼できるデバイス、ロケーションからアクセスしてきていて、かつ普段行動パターンも本人らしい。仮にこの条件が揃っていたとしても、第三者からの指示待ちの間、目的のないマウスの動きが多いことや、スマートフォンの場合、電話をしながら操作をしていますので、第三者から電話口で指示を受けて操作をしているというような兆候を捉えることができます。こういった情報を BioCatch が検出してスコアリングに役立てるというような機能になります。」(硲氏)
最後に、犯罪者が利用するマネーアカウントの特徴を見抜くことができるという Mule Account Detection というマネーミュールを検出する機能の紹介も行われました。例えば、犯人に口座を貸した際、パスワードが短期間で何回も変更されるなどの特徴の他、取引の前後で頻繁に残高確認が入るなど、マネーミュールによくみられる動きの検知が可能だといいます。
BioCatch はこうした4つの機能を通して、金融犯罪への対策を強固なものにしています。
豪大手銀行がおこなったマネーミュール対策
口座乗っ取りが多発!「対策」しつつも不十分な現実
続いていくつかのケーススタディが紹介される中、オーストラリアの大手銀行がBioCatchを使った実際の活用例について聞くことができました。
「前段に少しオーストラリアの状況についてお話しさせていただきますと、『口座乗っ取り』では 2019年、日本円で約3100億という被害があり、事態が非常に深刻化しております。このような被害の背景には、国民の8割程がオンラインショッピングを利用していたり、1/3がインターネットバンキングを利用しているという、インターネットを用いた金融サービスの提供が進んでいるということが考えられます。」(硲氏)
このオーストラリアの大手銀行が持つ課題としては アカウント乗っ取り、ミュールアカウントの特定を挙げていたといいます。
しかしこういった課題に対して、既存でネットワーク情報を収集した不正ログイン対策をおこなってはいたものの効果は十分に得られなかったといいます。そこで従来のリスクベース認証と行動的生体認証の両機能をあわせ持つBioCatchが評価を得たといいます。
「犯罪者が盗んだ認証情報を使って、顧客の口座に不正アクセスして不正送金を行う、口座の乗っ取りが多発していました。さらに、犯罪者がマネーロンダリングを目的にミュールアカウントを開設しようとしているとも認識していました。この課題の解決によって、不正ログインによる被害額の軽減だけでなく、ミュールアカウントがマネーロンダリングに利用されて銀行のブランド、評判、そういったものが損なわれるのを防ぐという目的もありました。」(硲氏)
こちらの大手銀行は、さらにBioCatch社と共同でミュールアカウントについての調査を実施しました。その結果、大部分のミュールアカウントは犯罪者が新規で開設しているものの、一部は一般の正規利用者が自身の口座を売却して、それがミュールアカウントとして使われているというような傾向まで確認することができました。例えばコロナで帰国した留学生が自分の口座を犯罪者に売却していたというケースもあったようです。
「BioCatchを導入後、90%以上のアカウント乗っ取りを防止できるようになりました。またマネーミュール検出機能のミュールアカウントディテクションによって、一年間で2000個のミュールアカウントを特定することができ、BioCatch導入前と比べてその被害額をなんと70%削減することができました。」(硲氏)
増加する金融犯罪にどう立ち向かうか
最後に、今後より巧妙な手口が増えてくるであろう金融犯罪への対策について、BioCatchが提供できる価値ついて話されました。
「利用者の端末を乗っ取って不正送金を行う行動、利用者をだましてワンタイムパスワードなどの認証を突破するソーシャルエンジニアリング詐欺、これらの攻撃を従来の多要素認証やリスクベース認証のみに頼ることには限界があります。今後は既存の対策を補完しセキュリティを向上させる必要性が出てきます。またマネーロンダリングの対策を検討する上で、まずはミュールアカウントを特定することが非常に重要であり、これによりAML対応力を向上させることができます。そしてこれらの対策の強化をもってもなお利用者のサービス利便性を損なわないこと。これらすべて、BioCatchだからこそ提供できる価値だと言えるでしょう。」(硲氏)
その後、SCSK 硲氏に続き、同じくSCSKの瀧島氏よりBioCatchを使ってどのようなことができるのかデモによって再現されました。デモの中ではインターネットバンキングを模したデモサイトを利用し、正規ユーザーとしてアクセスした場合の挙動とブルートフォース攻撃でアクセスされた場合の比較などをはじめ、具体的なスコア、検出時の管理画面なども紹介されました。
デモについては、以下製品サイトより動画のご視聴が可能となっております。
是非この機会にご覧ください。
_PNG.png)
SCSK株式会社
瀧島 慶子 氏