【NTTデータ】インターネットバンキングサービスに「トランザクション認証機能」を追加

株式会社NTTデータ（以下：NTTデータ）は、2015年12月より個人向けインターネットバンキング「AnserParaSOL?（アンサーパラソル）」にてソフトウエアトークンによる「トランザクション認証機能」、および2016年4月より法人向けインターネットバンキング「AnserBizSOL?（アンサービズソル）」にて二次元コードによる「トランザクション認証機能」を新たにオプション機能として追加し、提供を開始します。
「トランザクション認証機能」は、インターネットバンキングの取引実行時に、送金先の口座番号や送金の金額情報などをスマートフォン上のソフトウエアトークン、または二次元コード読み取り機能付きハードウエアトークンに表示し、利用者が目視で送金情報を確認したうえ取引続行の可否を選択できるようにすることで、マルウエアの送金情報改ざんによる不正送金を未然に防止することが可能となります。また、取引を行う端末（パソコンなど）と、送金情報を表示・確認する端末を分けることで、マルウエアによる改ざん手段を問わず不正を検知することが可能となります。これにより、利用者は利便性を損なわずに安心してインターネットバンキングを利用できるほか、金融機関においても不正送金が行われた際の補償リスク等を低減することが可能となります。
なお、インターネットバンキングにおける二次元コードによる「トランザクション認証機能」については、株式会社みずほ銀行、株式会社秋田銀行、株式会社百五銀行、株式会社東京スター銀行、京都信用金庫にて導入に向けた準備を進めています。
NTTデータは「AnserParaSOL」および「AnserBizSOL」を導入している金融機関を中心に本機能を提供していくことで、今後3年間で50金融機関の利用を目指します。
背景
近年、インターネットバンキングの広がりやスマートフォンの普及とともに、インターネット上での送金取引が一層増えてきています。一方でサイバー攻撃の高度化に伴い、インターネットバンキングでの送金処理を狙うマルウエアが急速に増加・巧妙化してきていることから、従来のワンタイムパスワード（OTP）認証サービスを用いたログイン・取引時認証のみならず、今後は送金処理実行時の改ざん攻撃への対策が求められています。
NTTデータでは、これまでも不正送金への対策として、ウィルス対策強化などで利用者のパソコン環境などを保護する「発生予防対策」、OTP認証サービスなどで不正なログインを防止する「発生防止対策」、モニタリング機能強化などで不正送金を速やかに発見できる「早期発見対策」の3観点でそれぞれ取り組んできました。
概要
「トランザクション認証機能」は、インターネットバンキングでの取引を実行する前に、スマートフォン上のソフトウエアトークン、または二次元コード読み取り機能付きハードウエアトークンで自身の取引内容が改ざんされていないかを利用者が目視で確認したうえ取引の続行可否を選択できるようにすることで、安全な送金処理が可能になります。OTP認証サービスに「トランザクション認証機能」を加えることで、不正ログインの防止と送金内容の改ざん防止の両方を実現し、「発生防止対策」のさらなる強化を実現します。
1.「AnserParaSOL」のソフトウエアトークンによる不正送金防止
利用者がインターネットバンキングで取引内容を入力した後、ソフトウエアトークンは自動でOTP認証を行い、利用者のスマートフォンの画面上に振込先の口座番号や振込金額等の各種情報を通知します。その結果を目視で確認後、利用者はスマートフォンにて取引可否を選択します。
「取引可」を選択した場合は、利用者は取引実行パスワードをパソコンに入力するだけで送金処理を実行できます。
正常な取引の場合
【図】
拡大表示
改ざんされた取引の場合
【図】
拡大表示
図1：スマートフォン上のソフトウエアトークンを用いた「トランザクション認証機能」の利用イメージ
なお、個人向けインターネットバンキング「AnserParaSOL」の「トランザクション認証機能」は、NTTデータが提供する「BizXaaS? Authentication（ビズエクサース・オーセンティケーション）」を利用しています。
2.「AnserBizSOL」のハードウエアトークンによる不正送金防止
利用者が取引内容確認ボタンを押下後、取引内容をもとに独自の暗号化処理にて生成した二次元コードをパソコン画面上に表示します。その二次元コードを二次元コード読み取り機能付きハードウエアトークンで読み取ると、取引内容がハードウエアトークン上に表示されます。表示された内容を目視で確認後、パソコン上で取引の確定、あるいは取引中止を選択できます。「取引可」を選択した場合は、ハードウエアトークン上に表示されるOTPをパソコン画面に入力することで送金処理を実行できます。
正常な取引の場合
【図】
拡大表示
改ざんされた取引の場合
【図】
拡大表示
図2：二次元コード読み取り機能付きハードウエアトークンを用いた「トランザクション認証機能」利用イメージ
なお、法人向けインターネットバンキング「AnserBizSOL」に用いる二次元コード読み取り機能付きハードウエアトークンは、VASCO DATA Security International Inc.（バスコ・データ・セキュリティ・インターナショナル）が提供する「DIGIPASS 760」を採用しています。
特長
取引内容をスマートフォン上のソフトウエアトークン、またはハードウエアトークンで目視で確認できるため、マルウエアによる改ざん手段を問わず、検知することが可能です。
利用者自身はソフトウエアトークン、ハードウエアトークンに取引情報を入力する必要が無いため、利便性を損なうことなく利用が可能です。
今後について
NTTデータは個人向けインターネットバンキング「AnserParaSOL」、法人向けインターネットバンキング「AnserBizSOL」を導入している金融機関を中心に幅広く「トランザクション認証機能」を提供していくことで、今後3年間で50金融機関の利用を目指します。

2015年 11月6日
参照NTTDATAニュースリリース