金融ITイノベーションフォーラム2018 REVIEW —新世代金融ビジネスとこれからのリスク管理—

顧客向けオンラインサービスをサイバーリスクから守る セキュアな金融サービス実現にむけて ソフトバンク

IT技術を最大限に生かし、モバイルを使ったオンライン金融サービスが拡大する中、モバイルを標的とした新しいサイバーリスクが登場してきている。オンラインサービスに対するユーザーの信頼を獲得し、金融機関がビジネスチャンスをものにするには、利用環境の変化を踏まえた新しい情報セキュリティ対策が急務だ。ソフトバンクは、アプリ組み込み型のセキュリティソリューション「zIAP(ジアップ)」を核とした提案によって、安全・安心なサービスの実現を支援している。

モバイルバンキングを標的とした新たなサイバー攻撃が広がる

ソフトバンク株式会社 法人事業戦略本部 戦略事業統括部 IoT・セキュリティ事業推進部 部長 北山 正姿氏
ソフトバンク株式会社 法人事業戦略本部 戦略事業統括部 IoT・セキュリティ事業推進部 部長 北山 正姿氏

金融業界にも、デジタルトランスフォーメーション(DX)の大きな波が押し寄せている。店舗の無人化/スリム化、RPA導入によるオフィス業務の効率化、働き方改革の推進といった動きとともに、FinTechやAIの活用も進行中だ。新しい顧客向けサービスが次々登場し、利便性は日増しに高まっている。

ただ、この状況のもとでは新たなリスクも生まれている。これについて、ソフトバンクの北山 正姿氏は次のように語る。

「様々な情報がデジタル化されるDXにおいては、それらを狙う脅威にも気を配ることが必要になります。例えば、日々生まれる新しいマルウエアはもちろん、通信に介入しての中間者攻撃(盗聴)や、デバイスへの不正アクセスといった高度な攻撃にも注意しなければいけません。これらに十分に備えておかなければ、せっかくの新サービスもユーザーの信頼を獲得できず、むしろ事業リスクを拡大させるだけのものになってしまう恐れがあります」

万一、情報漏えいなどの事故が起これば、その企業の社会的信頼は大きく落ちる。顧客離れや株価の低下など、ビジネスは極めて大きなダメージを受けることになるだろう。

また、デジタル化によるリスクについてはユーザー側も不安を抱いている。モバイルバンキングを利用していない人なら、その理由の1つに「セキュリティの不安」を挙げる人は少なくないはずだ。モバイルデバイスがインターネットアクセスの中核手段になっていく中、脅威はユーザーにとって、より身近で切実なものになっている。この不安を払拭できない限り、そのサービスは真の利便性を顧客に提供することは難しい。


攻撃の手口を正しく知り、適切な対策を検討せよ

ただ、これは逆にいえば、サービス提供側が十分な対策を施し、きちんとユーザーに説明すれば、新たな利用者の獲得につなげることができるということでもある。「重要なのは、攻撃の手口と引き起こすダメージの程度を正しく把握することです」と北山氏は言う。

例えばデバイスの乗っ取り。管理者権限を乗っ取られると、すべてのデータにアクセスされてしまう。攻撃者がスマートフォンのマイクやカメラを使って、音声や画像などを勝手に外部に送信するといったこともできる。加えて、デバイスの所有者に成りすましてメールを送信し、被害を拡大させることも可能だ。

また、Wi-Fiなどのネットワーク内でよく見られる「中間者攻撃」にも注意が必要だ。送信者と受信者の中間に入り、双方に対して正当な受信者・送信者を装ってパスワードなどの情報を盗み取る。

さらにはデバイスを狙うマルウエアも多様化している。例えば、以前ヨーロッパで流行したAndroid端末を狙うBankBotは、正規のバンキングアプリの入力画面を偽の画面で上書きし、そうとは知らずに入力したユーザーからパスワードなどを盗む。ユーザーのクレデンシャル情報が流出することは最も避けなくてはならない事態だ。

「現在は、こうした攻撃手法に関する多くの情報がネット上で公開されており、さほど技術力を持たない人でも、容易に攻撃を仕掛けることができるようになっています。いつ、どこから攻撃されてもおかしくない状況なのです」と北山氏は警鐘を鳴らす。


「アプリ組み込み型」でセキュリティリスクを低減

そこでソフトバンクは、モバイル環境におけるこれらのリスクを低減するソリューションを提案している。

図1 組み込み型ソリューション「zIAP」

図1 組み込み型ソリューション「zIAP」

アプリを立ち上げると同時に起動され、リスクがあれば検知し警告を発する。中核をなす脅威検出エンジンは随時、最新のものにアップデートされている

[画像のクリックで拡大表示]

「それがスマートフォンアプリ組込型セキュリティ対策『zIAP(ジアップ)』です。これは、お客様が提供するオンラインアプリにあらかじめ組み込むことで、サービス利用時の安全性を高めるIn-App-Protectionの発想に基づくソリューション。エンタープライズ向けに開発されたモバイルサイバー脅威検出エンジンを実装しており、多様なリスクを網羅的に検知することが可能です」と北山氏は説明する(図1)。

この脅威検出エンジンは、パターンマッチングのみならず、デバイス自体が異常状態に陥った際などの振る舞いを機械学習することにより、未知の脅威にも対応することができるほか、エンジンは随時アップデートされていくため、新たな攻撃手法に対しても迅速に備えることが可能になるという。これによりサービス提供企業は、エンドユーザーに対して安全・安心な金融サービスを提供できるようになるだろう。

「開発元であるZimperium, Inc.は、セキュリティ領域で多くの実績を持つイスラエルのベンダー。世界中のユーザー企業/組織が、同社の技術を利用することでセキュアなサービス提供を実現しています」と北山氏は続ける。

例えばニューヨーク市は、パブリックなWi-Fiサービスを提供する際、「ユーザーのモバイル環境を守ることは市の責任だ」というスタンスを貫いている。そこでセキュリティ対策アプリも市が無償で配布しているが、このアプリの開発をZimperium, Inc.が行っているという。


2万6000件/月のクリティカルな攻撃を検出した例も

zIAPは、グローバルで既に多くの企業が導入し、セキュアなサービスを実現することでビジネス拡大につなげている。

図2 某金融機関での導入効果

図2 某金融機関での導入効果

導入1カ月後の時点で、既にこれだけの脅威が検出された。幸い、実害にはつながっていなかったが、企業は常に狙われている意識を持つ必要がある

[画像のクリックで拡大表示]

例えば、ある金融機関はzIAPをオンラインバンキング用のアプリに組み込み、2600万ユーザーに提供。同時に、Zimperium, Inc.のモバイル向けセキュリティ対策アプリを従業員5000ユーザーに配布した。導入1カ月後に状況を測定したところ、「偽造Wi-Fi」「サードパーティ製の不正アプリ」など、実に90万件の脅威が検出されたという(図2)。

「うち2万6000件がクリティカルな攻撃と見られており、その攻撃の8割はデバイスを狙ったもの。管理者権限を乗っ取ろうとするものも多く、不正送金などの重篤な被害につながりかねないものでした。幸い、損失が実際に発生したわけではありませんが、もしも攻撃を防げなかった場合、損失額は11億ドルに上るという試算を導きました。それだけの被害が起きる可能性が、実際に存在しているのです」(北山氏)

またソフトバンクでは、デバイスが攻撃を受けた際、管理者に即刻通知し対策を提案する「zIPS(ジップス)」や、カレンダーやマイクにアクセスするなどのプライバシーリスクとみなされるアプリケーションを特定する「z3A」といったZimperium, Inc.製ソリューションも提供している。これらを組み合わせれば、より高度な対策環境を実現することも可能だ。

自身のデバイス権限の乗っ取りを狙った攻撃は行われていないか、OSに脆弱性はないか、通信経路は安全か、不正もしくはプライバシ侵害リスクがあるアプリが混入していないか——。モバイル環境の状況を可視化し、リスクがあれば即、通知することで、ユーザーが安心して様々な金融サービスを利用できるようにする。ソフトバンクの提案は、既にモバイルサービスを展開している企業はもちろん、新たにモバイル領域のサービスを検討する企業にとっても、心強いものといえる。

脅威を恐れるあまり、新たなビジネス領域に踏み出せないのでは本末転倒だ。実態を知り、適切な対策を施すことで、大きなビジネスチャンスを獲得することができるだろう。

※「zIAP」はZimperium, Inc.が提供するサービスの名称です。


お問い合わせ

ソフトバンク株式会社
URL:https://www.softbank.jp/biz/cloud/saas/zimperium/