スキップしてメイン コンテンツに移動

米国連邦金融検査機関協議会の「インターネット・バンキング環境下における顧客認証方法」の遵守期限迫る

  

Last Updated:October 8 ,2022

 本ブログでも数回にわたり、インターネット・バンキングを巡る金融詐欺やなりすまし金融犯罪の急増や消費者の利用回避の動きなどを背景として出された標記ガイダンス(筆者注1)の内容や欧米の金融機関の取組み状況について取り上げてきたが、いよいよ標記協議会(Federal Financial Institutions Examination Council: FFIEC)の改訂ガイダンスの遵守期限が2006年12月末日となり、ハードおよびソフトベンダーの売り込み、シンクタンク等によるセミナーの開催等わが国において2005年4月の個人情報保護法全面施行時直前の状況と極めて似ている(“カウントダウン”と言う言葉が一般化している)。
 当然のことながら、9月8日に連邦財務省通貨監督庁(OCC)がさらなる徹底通達を出すなど(筆者注2)、その動きが急速に目まぐるしくなってきている。わが国の金融機関ではATM取引きについてはICチップカードへの切替や生体認証の相互運用化への取組みが進んでいるが、インターネット・バンキングについては、トークン型または複数画面入力による「ワンタイム・パスワード」が主力になっているといえる。ただし、インターネット・バンキング自体の普及テンポが遅いことから本格的な対応はこれからといったところであろうが、金融犯罪の多様化やハイテク化とりわけ個人の金融情報の盗取や振込め詐欺リスクが高まることは間違いなく、ここで改めて欧米の金融機関の対応状況を整理しておく(筆者注3)

1.米国ロス・キャピタル・パートナーズ筆者注4)の分析結果
 2006年7月現在で135の金融機関を対象に調査した結果、2006年末までに以下述べるFFIECの要求条件を何がしか充足する予定の金融機関数が69%で、うち16%の機関がリスク調査の段階にあると回答している。同調査では具体的にハードウエアー・トークンの採用を予定する金融機関数が5%である。
 なお、いうまでもなく効率的な認証方法の要件は次の点であるといえよう。
(1)顧客の受容性(使いやすさ、取引内容の透明性)
(2)機器、技術面の性能に対する信頼性
(3)将来の成長性に対する規模の利益の確保
(4)既存のシステムと将来の計画との相互運用性

2.FFIECが要求する具体的多要素認証の方法とは
 FFIEC改訂ガイダンスでは、次のとおりその認証方法が例示的に整理されている。

(1)金融機関と顧客との間の機密情報の共有によるもの
①認証時に答えるため本人しか知りえない知識・情報を必要とするもの(毎月の不動産担保ローンの返済額等)
②本人しか知りえない本人が選択したイメージ(好きな人のイニシャル、好きな本のタイトル等)(筆者注5)
(2)トークン(Tokens)
USB型トークン端末(デジタル証明付きまたは証明なし)

例示:1000ND

スマートカード(ICメモリーに情報を保管し、第一次的に本人確認を行う専 用 カード)(筆者注6)

例示:

パスワード作成機能付きトークン(時刻の同期機能付き)(筆者注7)

例示:

④生体認証技術(生物学的特性判断)(指紋、虹彩・網膜、顔のイメージスキャ ン、声紋 キーストローク、手・指の形状、筆跡がガイダンスでは例示されている。)(筆者注8)

(3)非ハードウェア型のローテク・低価格の手段(かつて利用されていた乱数表 (grid cardまたはscratch card))

(4)電話、電子メール、SMSテキストメッセージをインターネットは異なるチャンネルで送ることで併用による認証の厳格化を図るもの(Out- of-Band Authentication )

(5)アクセス中のPCの現利用者が特定されるIPアドレス(ただし、同アドレスは顧客個人が常に所有しているものでなく、頻繁に変更されたり時としてなりすまされたりする点が課題)や顧客の地理的位置情報(この点についてもワイヤレスや携帯電話によるインターネット・バンキングでは認証効果が薄れる)

(6)金融機関と顧客の双方がSSL等暗号化によるウェブサイトの真正確認やデジタル署名を使用する相互認証(フィッシング等に有効)

3.多要素認証への対応をめぐる最近時の新たな認証技術の出現
 米国のシテイ・バンクがFFIECの要件を満たすため取り組んだ技術は、詐欺犯捜査ソフトウェア(実際、2006年の税還付申告期間において同技術を利用した米国最大手の税申告代行業者H&R Blockは還付詐欺の阻止に有効であったとしている(筆者注9))の応用形であった。
 この技術の導入に関し、ソフトベンダーが第一に挙げた理由はFFIECのガイダンスへの遵守対応期間が短いことである。その点は別として、この認証方法は前記2.で紹介した技術を一部応用している。最も特徴的な点は顧客の取引振りをリアルタイムでモニタリングし、必要に応じ速やかに顧客に警告をならす点であろう。オンライン取引きのトレースすなわち銀行取引のアプリケーション・プログラムの一部というより、ネットワークのトラフィック・モニタリング技術の進化があってこその対応と言えよう。以下要約してみる。(筆者注10)

(1)金融機関はオンライン・バンキング取引の各セッションの間をぬって、顧客のサイトへのナビゲーシヨンをモニタリングし、動的にリスクのスコアリング(dynamic risk score)を行う。このスコアが一定のレベルを超える場合、直ちに第二段階の認証すなわち電話による照会や取引停止を行う。この場合、顧客に対し、その不審な状況について テキスト・メッセージまたは電子メールを送信する。

(2)このような取引の異常値をリアルタイムでチェクするため、data warehouse(基幹系業務システム(オペレーショナル・システム)からトランザクション(取引)データなどを抽出・再構成して蓄積し、情報分析と意思決定を行うための大規模データベース。) (筆者注11)では顧客の取引プロフィールや疑問点を保管する。実際の顧客のアクセス面では、各金融機関は①グリッドカード、②クッキー(cookie)に基づく端末認証、③ワンタイム・パスワード、④相互認証、⑤Out- of-Band Authentication等より強固な認証技術を使用する。
************************************************************************
(筆者注1)FFIECの改訂ガイダンスは2005年10月12日に発出されている。ガイダンス(PDF版)が添付されている。
また、FFIECは2006年8月15日に前記ガイダンスのFAQsを発刊している。http://www.ffiec.gov/press/pr081506.htm

(筆者注2) 本警告通達ではガイダンスの遵守に伴う顧客の混乱を避けるための顧客への通知内容について対応窓口の強化等も要求している。

(筆者注3)トークン等のついての解説はわが国でも多く見られるので、今回はより多要素認証の概念を広くとらえて説明する。

(筆者注4)Roth Capital Partnersは米国において投資銀行業務、資本市場取引、M&A、市場調査等を行っている企業である。

(筆者注5)英国のAlliance &Leicester銀行が、2006年3月からこの方式を2要素認証方式として導入している。http://www.alliance-leicester.co.uk/internetbanking/index.asp?page=extrasecurity&ct=ibsecurity

(筆者注6)スマート・カードによる2要素認証の例として、スイスのCantonal Bankが2007年に 最大2万人の顧客に対し無料でEMV対応携帯用カードリーダーを配布する。顧客はまず従来どおり4桁の暗証番号を入力し、その後カードのチップにより組成された8桁のワンタイム・パスコードを入力する。ロイヤルバンクオブスコットランド、Xiringスマートカードリーダーを発行

Xiring smart card reader

(筆者注7)その他英国の大手銀行ではLloyds TSB銀行、Barclays 銀行がパスワード生成型トークンを採用している。しかし、本年7月22付けの本ブログで紹介したとおりシテイ・バンクは、「Man in-the –middle –attack」攻撃によりワンタイム・パスワード生成型トークンの脆弱性をつかれフィッシング被害にあうというリスクが顕在化した。

(筆者注8)わが国の日本郵政公社や一部銀行で利用が始まっている指や手のひら静脈認証(vein pattern authentication )はガイダンスでは直接明記されていないが、認証技術として技術的には一定以上に評価されるものといえよう。しかしながら、顧客の受容度といった点でなお抵抗があり利用者数は急増とはいえないのが現状であろう。

(筆者注9)H&R Blockは税金コンサルタント業だけでなく、不動産ローン、銀行、個人年金アドバイスなど手広い。皮肉にも2009年3月15日に同社はニューヨーク州司法長官から約50万人の低所得者層のうち約85%の顧客の個人年金を詐欺的に販売し、結果的に顧客に損失を与えたことを理由として起訴された。起訴状によると罰金および払戻し額の合計は2億5千万ドル(約292億5千万円)と報じられている。http://www.msnbc.msn.com/id/11839807

(筆者注10)詐欺的インターネット取引きモニタリング・ソフト(real time risk scoring)の発想については、最近読んだスタンフォード大学のフリーウェア「SpoofGuard」を思い出した。まだ、インストールしていないが、ユーザーが設定するセキュリティレベルのパラメーターに基づき、新規ウェブへのナビを行う際にチェックを行い、そのブール演算子の結果をユーザーがあらかじめ設定した警告レベルを越えると、フラグがたち偽サイトにアクセスしないようユーザーに警告を送る。詳細は以下のURLを参照されたい。
 http://crypto.stanford.edu/SpoofGuard/

(筆者注11) http://www.atmarkit.co.jp/aig/04biz/dwh.htmlから引用。

〔参照URL〕
http://www.bankinfosecurity.com/articles.php
******************************************************************************
Copyrights @2006 芦田勝(Masaru Ashida ) All rights Reserved

コメント

コメントを投稿

このブログの人気の投稿

ウクライナ共同捜査チームの国家当局が米国司法省との了解覚書(MoU)に署名:このMoU は、JIT 加盟国と米国の間のそれぞれの調査と起訴における調整を正式化、促進させる

  欧州司法協力機構(Eurojust) がウクライナを支援する共同捜査チーム (Ukraine joint investigation team : JIT) に参加している 7 か国の国家当局は、ウクライナで犯された疑いのある中核的な国際犯罪について、米国司法省との間で了解覚書 (以下、MoU) に署名した。この MoU は、ウクライナでの戦争に関連するそれぞれの調査において、JIT パートナー国と米国当局との間の調整を強化する。  このMoU は 3 月 3 日(金)に、7 つの JIT パートナー国の検察当局のハイレベル代表者と米国連邦司法長官メリック B. ガーランド(Merrick B. Garland)によって署名された。  筆者は 2022年9月23日のブログ 「ロシア連邦のウクライナ軍事進攻にかかる各国の制裁の内容、国際機関やEU機関の取組等から見た有効性を検証する!(その3完)」の中で国際刑事裁判所 (ICC)の主任検察官、Karim A.A. Khan QC氏 の声明内容等を紹介した。  以下で Eurojustのリリース文 を補足しながら仮訳する。 President Volodymyr Zelenskiy and ICC Prosecutor Karim A. A. Khan QC(ロイター通信から引用) 1.ウクライナでのJITメンバーと米国が覚書に署名  (ウクライナ)のICC検事総長室内の模様;MoU署名時   中央が米国ガーランド司法長官、右手がICCの主任検察官、Karim A.A. Khan QC氏  MoUの調印について、 Eurojust のラディスラフ・ハムラン(Ladislav Hamran)執行委員会・委員長 は次のように述べている。我々は野心のために団結する一方で、努力においても協調する必要がある。それこそまさに、この覚書が私たちの達成に役立つものである。JIT パートナー国と米国は、協力の恩恵を十分に享受するために、Eurojustの継続的な支援に頼ることができる。  米国司法長官のメリック B. ガーランド(Merrick B. Garland)氏は「米国が 7 つの JIT メンバー国全員と覚書に署名する最初の国になることを嬉しく思う。この歴史的な了解覚書は...
コメントを投稿
続きを読む

米国連邦取引委員会(FTC)が健康製品に関する新しい拡大コンプライアンスガイダンスを発行

   2022年12月20日、米国連邦取引委員会(以下、FTCという)は、以前の 1998年のガイダンスである栄養補助食品:業界向け広告ガイド(全32頁) を改定および置き換える 健康製品等コンプライアンスガイダンス の発行を 発表 した。 Libbie Canter氏 Laura Kim氏  筆者の手元に Covington & Burling LLPの解説記事 が届いた。筆者はLibbie Canter氏、Laura Kim氏他である。日頃、わが国の各種メディア、SNS、 チラシ等健康製品に関する広告があふれている一方で、わが国の広告規制は一体どうなっているかと疑うことが多い。  FTCの対応は、時宜を得たものであり、取り急ぎ補足を加え、 解説記事 を仮訳して紹介するものである。 1.改定健康製品コンプライアンスガイダンスの意義  FTCは、ガイドの基本的な内容はほとんど変更されていないと述べているが、このガイダンスは、以前のガイダンスの範囲につき栄養補助食品を超えて拡大し、食品、市販薬、デバイス、健康アプリ、診断テストなど、すべての健康関連製品に関する主張を広く含めている。今回改定されたガイダンスでは、1998年以降にFTCが提起した多数の法執行措置から引き出された「主要なコンプライアンス・ポイント」を強調し、① 広告側の主張の解釈、②立証 、 その他の広告問題 などのトピックに関連する関連する例について具体的に説明している。 (1) 広告側の主張の特定と広告の意味の解釈  改定されたガイダンスでは、まず、広告主の明示的主張と黙示的主張の違いを含め、主張の識別方法と解釈方法について説明する。改定ガイダンスでは、広告の言い回しとコンテキストが、製品が病気の治療に有益であることを暗示する可能性があることを強調しており、広告に病気への明示的な言及が含まれていない場合でも、広告主は有能で信頼できる科学的証拠で暗黙の主張を立証できる必要がある。  さらに、改定されたガイダンスでは、広告主が適格な情報を開示することが予想される場合の例が示されている(商品が人口のごく一部をターゲットにしている場合や、潜在的に深刻なリスクが含まれている場合など)。  欺瞞やだましを避けるために適格な情報が必要な場合、改定されたガイダンスには、その適格...
コメントを投稿
続きを読む

米ノースカロライナ州アッシュビルの被告男性(70歳)、2,200万ドルのポンジ・スキーム(いわゆる「ねずみ講」)等を画策、実施した罪で17.5年の拘禁刑や1,700万ドル以上の賠償金判決

被告 Hal H. Brown Jr. 7 月 10 日付けで米連邦司法省・ノースカロライナ西部地区連邦検事局の リリース   が筆者の手元に届いた。 その内容は「 ノースカロライナ州アッシュビル住の被告男性 (Hal H. Brown Jr., 70 歳 ) は、 2,200 万ドル ( 約 23 億 5,400 万円 ) のポンジ・スキーム (Ponzi scheme : いわゆる「ねずみ講」 ) 等を画策、実施した罪で 17.5 年の拘禁刑 や 1,700 万ドル ( 約 18 億 1,900 万円 ) 以上の賠償金 の判決 を受けた。被告は定年またはそれに近い人を含む 60 人以上の犠牲者から金をだまし取ったとする裁判結果」というものである。 筆者は同裁判の被害額の大きさだけでなく、 1) この裁判は本年 1 月 21 日に被告が有罪を認め判決が出ているのにかかわらず、今時点で再度判決が出された利用は如何、さらに、 2)Ponzi scheme や取引マネー・ローンダリング (Transactional Money Laundering) の適用条文や量刑の根拠は如何という点についても同時に調査した。 特に不正資金の洗浄運び屋犯罪 (Money Mules) の種類 ( 注 1) の相違点につき詳細などを検証した。 さらに裁判官の連邦量刑ガイドラインや具体的犯罪の適用条文等の判断根拠などについても必要な範囲で専門レポートも参照した。 これらについて詳細に解析したものは、米国のローファームの専門記事でも意外と少なく、連邦検事局のリリース自体も言及していなかった。 他方、わが国のねずみ講の規制・取締法は如何、「ネズミ講」と「マルチ商法」の差は如何についてもその根拠法も含め簡単に論じる。いうまでもないが、ネズミ講の手口構成は金融犯罪に欠くべからざるものである。高齢者を狙うのは振込詐欺だけでなく、詐欺師たちは組織的にかつ合法的な似非ビジネスを模倣して、投資をはじめ儲け話しや貴金属ビジネスなどあらゆる違法な手口を用いている。 ( 注 2) 取締強化の観点からも、わが国の法執行機関のさらなる研究と具体的取り組みを期待したい。なお、筆者は 9 年前の 2011.8.16 に...
コメントを投稿
続きを読む