従来の金融機関におけるサイバーセキュリティ対策は、金融システムや企業内インフラを守るための施策が主流であった。しかし金融機関の内部のセキュリティ対策が進んでいる近年では利用者が標的となる例が増加しており、これが喫緊の課題となっている。

そのため、金融機関においては、以前のように金融機関を狙うランサムウェアや標的型攻撃、DDoS(Distributed Denial of Service:分散型サービス妨害)攻撃のようなサイバー犯罪への対策に加えて、金融機関の顧客を狙うフィッシングや特殊詐欺といった金融犯罪への対策も必要だ。

ラックの代表取締役社長である西本逸郎氏は金融犯罪対策に必要な要件として、「金融犯罪とサイバー犯罪に対峙した経験」「金融機関システムと運用の知識」「データ分析の知見」が不可欠であると紹介した。

同社ではこれらの知見を活用し、「本当の意味でサイバー犯罪に向けて新たな一歩を踏み出していく」とのことだ。

  • ラック 代表取締役社長 西本逸郎氏

同社は金融犯罪対策への取り組みを本格化するとして、2021年5月にFC3(Financial Crime Control Center:金融犯罪対策センター)を設立した。同センターは「金融犯罪対策の駆け込み寺」をキャッチフレーズとして、金融機関を支援している。

  • 金融犯罪対策センターの概要

近年はフィッシング詐欺が急増しており、フィッシングサイトの報告件数は過去4年で約50倍に増加し、2021年には50万件を超えているという。犯罪者が認証情報を詐取するための手段として、フィッシングを多用していることがうかがえる。

金融機関はフィッシング詐欺に対し、SMSや電話を用いる認証コードまたはワンタイムパスワードなどにより本人確認を実施する「追加認証」などの策を講じている。しかし昨年、追加認証を突破する手口が報告された。SMS認証ではその認証コードもフィッシングにより詐取できること、電話認証では携帯キャリアの転送サービスを悪用し犯罪者の電話番号に転送することが可能であることがわかっているという。

  • 近年報告された追加認証を突破する手口

金融犯罪の手口が巧妙化する中で、これまで有効とされていた対策では利用者を守り切れなくなってきている。既存のルールベースによる不正取引検知システムでは運用面やコスト面で課題が多いとされることから、同社ではAIを活用した高度な不正取引検知システムの開発に着手したとのことだ。