株式会社 横浜銀行
セキュリティ統括部
片山 晃 氏
フィッシング被害が現実となった2020年、銀行が直面した
「見つけられない」という課題
金融機関でのフィッシング被害は以前から存在していた。
しかし2020年、横浜銀行は実際にフィッシング被害に遭遇し、その対策に本腰を入れることになった。「大手銀行でフィッシングによる被害が発生し、大変だなと思っていたら
地方銀行にも被害が広がってきた。被害者も短期間に複数確認される状況でした」と片山氏は当時を振り返る。
当時すでに既存のフィッシング対策サービス(ACSiONのサービスではない)を契約していたが、そこで浮かび上がったのが「そもそもフィッシングサイトを発見できていない」という根本的な課題だった。
既存サービスはあくまで「把握済みのフィッシングサイトをテイクダウンする」仕組みであり、サイトを発見する手段は銀行側が自力で用意しなければならなかった。
当時の発見手段は主に二つ。
一つはお客さまが受信したフィッシングメールを転送してもらうことで、もう一つはX(旧Twitter)でフィッシングハンターと呼ばれる有志がつぶやく情報をエゴサーチで拾うことだった。「網羅的に見つけられているわけではなく、
被害が顕在化しているものだけしか把握できていなかった」と片山氏は課題を整理する。
さらに、フィッシングが実際に発生すると、問い合わせ対応、不正送金の調査、被害者対応など多くのリソースが一気に必要になる。
エゴサーチに割ける人員は限られており、リソース配分の問題は常に現場の悩みのタネだったという。
国産・一気通貫・実務に即した検知力がACSiON選定の決め手に
フィッシング対策サービスを比較検討するにあたり、片山氏が注目したのは「検知」の部分だ。「当時、国内でフィッシング対策を前面に出したサービスはほとんどなく、海外のサービスが中心でした。
ただ、海外サービスは銀行として契約上の問題もありますし、日本固有のフィッシングを見つけられるかという懸念もあった」と片山氏は振り返る。
そうした状況の中でACSiONのサービスと出会ったのは、同社がサービスを立ち上げようとしていた時期のことだった。「フィッシングの検知から閉鎖まで一気通貫でできるサービスを探していた中で、ベータ版から利用させていただきました」
銀行実務に即している点として特に評価したのは、フィッシングメールの情報提供機能だ。「フィッシングサイトがありましたというだけでなく、こういうメールがばらまかれていますという情報も提供してもらえるので、
お客さまへの注意喚起を的確に出すことができます」と片山氏は説明する。
銀行にとって、顧客への注意喚起は迅速さと正確さの両方が求められる業務であり、その精度を高める情報がリアルタイムで届く点は大きな強みだという。
社内での導入承認においては、費用対効果の説明よりも「我々ができていないことをやってくれる」という論理が決め手になった。「フィッシングサイトの閉鎖依頼は、1件あたりいくらと単価で比較できますが、フィッシングサイトを発見できない課題に関しては、費用対効果というより、
企業としてリスク対処できていない領域なので、利用するしかないという説明をしました」と片山氏は話す。
Googleとの連携で実現した「把握した瞬間にブロック」という理想
導入前に使っていた海外サービスとの最大の違いは、フィッシングサイト閉鎖の「速度と確実性」にあった。「従来のサービスはドメインの無効化やホスティングサービスの停止が中心で、即効性がありませんでした。
通報しても閉鎖されないというジレンマがありました」と片山氏は説明する。
ACSiONのサービスでは、GoogleやMicrosoftへの通報も行われるため、ブラウザレベルでのアクセス遮断が早期に実現できる点が大きな違いだ。
特に、ACSiONがGoogleと密な連携を開始してからは、その効果はさらに顕著になったという。「以前はGoogle セーフブラウジングに自分たちで手動登録していましたが、何回登録しても反映されないことが多かった。
ACSiONさんがGoogleと連携してからは、早いものは10分ほどで止まるようになりました。
こちらでフィッシングサイトを把握したタイミングでは、すでに赤い警告画面が出てお客さまがアクセスできない状態になっている。
本当に効果が出ていると感じています」
エゴサーチ不要、土日を安心して休める体制へ
ACSiONのサービス導入によってもたらされた副次的な効果は、単なる業務効率化にとどまらない。「フィッシングが発生しそうな情勢の時は、いつ来るかわからないけれど来たらちゃんと対応できるようにしようと、体制を張って気を張っていたと聞いています」と片山氏は導入前の現場の緊張感を伝える。
ACSiONのサービス導入後は、自分たちでエゴサーチをしなくてよくなったことで、担当チームが土日を落ち着いて休めるようになった。「予兆があれば監視体制を敷くという状態から、検知があってから対応を始めるという状態に変わりました。
それが大きなポイントです」と片山氏は話す。
現在、横浜銀行ではプライベートSOCを運用しており、管理担当者を当番制にしてACSiONからの検知通知を組み込んでいる。「ACSiONからのメールを受信した瞬間に、当番の担当者に電話が来る仕組みを入れています。
緊急性の高い情報は電話で気づくのが一番早い」と片山氏は運用の工夫を紹介する。
また、ACSiONサービスの管理ポータルについても高く評価している。
「現在、管理ポータルが標準化され、フィッシングサイトの発生件数や閉鎖状況をリアルタイムで確認できるようになっています。
当初、利用を開始した時にはなかったものですが、自分たちが利用してきて困っていたことは他の銀行も困るだろうと思ってACSiONに提案しました。
提案した機能が提供されて良かったと思っています」
不正に「面で守る」ための情報連携と今後の課題
横浜銀行ではフィッシング対策を自行内だけの取り組みとして完結させていない。
金融ISAC(金融機関向けサイバーセキュリティ情報共有組織)や、日本サイバー犯罪対策センター(JC3)を通じて、他の金融機関やクレジットカード会社など業態を超えた情報交換を積極的に行っている。
「フィッシングと不正送金の対策は両輪で必要です。
フィッシングサイトの対策だけでなく、万が一アクセスされてしまった場合の不正送金対策も含めて、全体を見ながら情報を集めています」と片山氏は語る。
「フィッシングの手口を熟知している ACSiONさん と話すと、こういうことをやりたいんだけどどうか?
と聞いたときにちゃんとレスポンスが返ってくるので安心感があります」と片山氏は評価する。
また、ユーザー間の情報交換の機会をさらに充実させてほしいという要望も語ってくれた。「フィッシング対策サービスに入ったものの、実際に被害が発生したときにどう活用するかを知らない銀行も多い。
使い方のユースケースを共有できる場があると、いざというときに慌てずに対応できると思います」
フィッシングの手口は多様化しており、メール経由に加えてSMS経由(スミッシング)の被害も無視できない状況だ。「被害額という意味ではメールとSMSで半々ですが、SMS経由はターゲットにピンポイントで届くため、1回の攻撃当たりの被害額が高い。銀行への通報もいただきにくく、より脅威が高いと感じています」
と片山氏は現状の手口について警告する。
お客さまの資産を守る使命に終わりはない
片山氏は、横浜銀行がフィッシング対策に取り組む根本的な動機について、こう語った。
「お客さまから資産をお預かりしている立場として、お客さまを保護することは銀行の重大な使命です。
フィッシングによりお客さまが被害に遭う可能性を踏まえ、銀行として不正の兆候を継続的にモニタリングし、被害の抑止・軽減につなげる取り組みを進めています。
こうした対応の積み重ねが、お客さまの信頼につながっていくと考えています」
犯罪者の手口が変化し続ける中、「脅威が自分の会社に向かってきたときにどう対処するか、未然に防げないかを常に考えている」
と片山氏は言う。
コロナ禍を経てインターネットバンキングの利用者が急増したことで、フィッシングリスクはより多くの顧客に身近なものとなった。
それだけに、早期検知・迅速遮断の重要性はこれからもさらに増していく。
サービス立ち上げ当初のベータ版から横浜銀行と歩んできたACSiONと、最前線で不正対策に向き合う横浜銀行。この連携は、業界全体で「不正に対し面で守る」社会づくりへの一歩でもある。
