2021年3月10日 / 最終更新日時 : 2022年3月14日 Passlogy

セキュリティ専門のパスロジ社、
「マン・イン・ザ・ブラウザ」対策特許発明を無償開放
~本人にしか承認できない「クイズ型」の新方式で安全送金を実現~

 セキュリティソフト開発・販売のパスロジ株式会社(東証TOKYO PRO Market上場:証券コード4426、本社:東京都千代田区、代表取締役社長:小川秀治。以下、パスロジ)は、インターネットバンキング利用者が、本人にしかわからない送金情報の穴埋めクイズに答えることで不正送金を防止する「クイズ型取引防護システム」特許発明の実施を無償で許諾することを決定しました。許諾の対象となるのは、当該特許発明の実施を希望する全ての金融機関やそのパートナー企業となります。パスロジ社はまた、当該特許発明の実施に向けたシステム開発のための技術サポートも無償で実施します。「クイズ型取引防護システム」を導入することにより、金融機関の送金プロセスにおけるセキュリティをさらに向上させることができます。

 2020年中のインターネットバンキングにおける不正送金(※1)の被害額は、約11億3,300万円(※2)となっていて、利用者と金融機関を脅かす大きな問題となっています。不正送金の代表格である、振込内容を改ざんする「マン・イン・ザ・ブラウザ」への対策として、ほとんどの金融機関はマルウェアの検出ソフトのインストールを利用者に推奨しています。さらには、「取引認証付きワンタイムパスワード方式」を採用しています。しかし、これらの手法は、いずれも、利用者のセキュリティ意識が高い場合には有効に機能しますが、利用者の注意が不十分である場合には、不正送金を許してしまう可能性があります。
 「クイズ型取引防護システム」は、利用者のセキュリティ意識に依存せず、効果的に不正送金を防止できる仕組みです。当該システムを用いた送金プロセスでは、本人にしかわからない振込内容の設問に回答しなければ、送金が実行できません。万が一、犯罪者が振込内容を改ざんして金融機関のサーバーに通信しようとすると「答えがない」という状態となり、改ざんの事実を発見することができます。

 当特許発明の実施につきまして、ご興味のある金融機関・企業の方は下記のお問合せフォームより、お気軽にご連絡ください。

パスロジ「認証セキュリティに関するご相談・取材のお申込み」フォーム

※1:不正送金の手口については、後述の「参考:不正送金の手口について」をご参照ください。
※2:2021年3月4日発表の警察庁広報資料「令和2年におけるサイバー空間をめぐる脅威の情勢等について」より

■「クイズ型取引防護システム」概要
 利用者がパソコンのブラウザなどで振込操作を指示すると、クイズ型取引防護システムから、振込先の口座番号や金額などの取引情報を一部欠損させた穴埋めクイズと、その欠損部分を補う回答の選択肢を、電子メールまたはアプリで受信します。利用者は、正しい回答の選択肢に割り当てられた確認番号(例えば、現行のワンタイムパスワードに相当する桁数の数字)をインターネットバンキングの画面で入力することで、送金操作を完了します。
 もし受信した穴埋めクイズの解答の選択肢が、利用者が指示した取引と合致しない取引情報であれば、取引情報が偽装されている可能性があると判断できます。

■「クイズ型取引防護システム」の特長
 当システムは、ユーザビリティ・コストパフォーマンス・防護確実性を備えた、利用者にも金融機関にもメリットとなる下記のような特長があります。

【利用者のメリット】
1:簡単な穴埋めクイズに回答して、ワンタイムパスワードを選択するだけなので、手順を増やすことなくセキュリティを上げられる
2:2経路認証(※3)とクイズに正答するための取引内容の精査により、不正送金をより確実に阻止

【金融機関のメリット】
1:電子メールおよびアプリに適用可能であるため、全てのインターネットバンキング利用者に提供可能
2:当システム導入における既存システムの改修は、ワンタイムパスワードの提示画面におけるクイズ提示のみ(システムの動作自体の変更はなし)であり、速やかな導入が可能
3:導入期間においては、既存システムとの併用が可能

※3:取引に使用している端末だけでなく、別の端末(経路)でも認証を行う認証方式

■参考:不正送金の手口について
 不正送金の手口として下記のような事例が確認されております。当社の「クイズ型取引防護システム」では、いずれの手口も防止可能です。

・MITB(マン・イン・ザ・ブラウザ)攻撃
 パソコンにマルウェアを侵入させ、利用者が送金操作を行う際に、その送信内容を改ざんし、利用者が意図した口座とは別の口座への送金を行う。

・MITM(マン・イン・ザ・ミドル)攻撃
 利用者と銀行の間の通信に介入し、通信中のデータの改ざんし、利用者が意図した口座とは別の口座への送金を行う。

・ウェブインジェクション攻撃
 送金手続き中に、ブラウザ上に表示された文言や画像の改ざん・追加や、ポップアップなどで、利用者の操作を誘導し、ログイン情報や取引情報を詐取する。

 当特許発明の実施につきまして、ご興味のある金融機関・企業の方は下記のお問合せフォームより、お気軽にご連絡ください。

パスロジ「認証セキュリティに関するご相談・取材のお申込み」フォーム