2018年6月28日
普通なら耳にすることもない機能(2018年版):KFPで銀行口座を守れ!
着るものを選ぶときに私が唯一重視するのは、機能性だ。きれいな包装だとか、デザイナーズブランドだとか、見た目のステータスなど、私にはまったくどうでもよい。車も同じだ。A地点からB地点へ、時間に間に合うように、安全に、まあまあの快適さで(エアコンがついている、など)、連れて行ってくれればいい。大事なのはそれだけだ。
「重要でないものは無視する」という原則は、サイバーセキュリティ製品を選ぶときにも適用されるべきだ。保護機能そのものには関係のない「その他もろもろ」(販促品や宣伝文句)に惑わされてはならないはずなのだが、多くの人はそこにつられている。第三者機関による徹底した検証では、新しく魅力的な「次世代アンチウイルス」製品の中身がフェイクの人工知能、流用されたウイルス検知機能、そして抜け穴だらけの「保護機能」であることが明らかになった。別の言い方をすると、気休め程度のものにすぎない。信頼できないセキュリティ対策を担ぎ上げる派手なマーケティングの犠牲にならないためには、自分でその中身を確かめて、何がどのように機能しているのかを見る必要がある。
とはいえ、サイバーセキュリティ製品の技術文書を熟読して理解するだけの十分な時間、忍耐力、技術的知識を誰もが持っているわけではない。たとえそれができたとしても、製品の開発者側が、専門用語だらけの文書の中に作り話をちりばめている可能性がないわけではない。
我々に関しては、その逆だ。我々は自らの技術に誇りを持っており、技術的な詳細情報を(何も盛らずに)一般に公開しているし、適切に説明されていれば誰でも内容を理解できると考えている。言ってみれば、当社は世界で最も透明性の高いサイバーセキュリティ企業なのだ。検証用にソースコードを公開する用意もある。
それだけではない。当社技術の一端を探しやすい場所で分かりやすく示すために、このブログ『Nota Bene』では、当社の複雑なテクノロジーの重要ポイント(普通なら耳にすることもない、よくあるマニア向け技術文書でもあまりお目に掛からないような、複雑な技術的詳細)を、できるだけかみ砕いて説明する記事を折に触れ投稿してきた。そうした機能の大部分は、表には見えないが当社のサイバー保護製品の根幹を成している。こういった記事には「テクノロジー」というタグを付けてある。
前置きはこのくらいにしよう。今日のテーマは、顧客の口座がハッキングされていることを銀行がどのように知るか、だ。
ある日銀行から、こんな文言で始まるメッセージを受け取ったと想像してみてほしい。「お客様の口座で不審なアクティビティが検出されました…」。あなたはまず、過去数日間の行動を思い返してみるだろう。どこにいたのか、どこで現金を引き出したか、それはいくらだったか、お店やカフェ、もしくはオンラインで何か支払いをしたか。
私ならこんな感じだ。(1)ノルウェーのスヴァールバル、ロングイェールビーンのATMでノルウェークローネを引き出した、(2)ノルウェーのオスロ空港でステーキとビールサラダとミネラルウォーターを購入した、(3)オランダ、アムステルダムのスキポール空港で連れ合いにプレゼントを買い、自分用にまたサラダとミネラルウォーターを購入した、(4)アゾレス諸島近辺のどこかで、飛行機内でのインターネット使用料金を支払った、(5)パナマのトクメン空港でバルボアをいくらか引き出した、(6)パナマ市からそう遠くない村で大人数分の夕食代を支払った。これは全部、わずか1日でのことだ。
この一連のクレジットカード取引は、銀行側からすれば、確かに疑わしく見えるかもしれない(このカードの登録先は先ほど挙げたどの国でもない)。地球の最北にある街から1日が始まり、しばらくしたらヨーロッパの都市で高額な免税品を買い、夕方にはパナマに着いて夕食代を支払う、こんなルートで移動した人がかつていただろうか。
疑念はもっともだが、現実問題として銀行は、数百万人もいる顧客の行動を追跡するわけにはいかない。そんなことをしたらどれほどの行員が必要になることか。そんなことをする代わりに、銀行はスマートな自動システム(たとえばKaspersky Fraud Preventionのような)を備えていて、詐欺を高い精度で自動認識している(リンク先は英語記事)。では、Kaspersky Fraud PreventionことKFPの中身をのぞいて、どのようにあなたの預金が守られているか見てみよう。
銀行の顧客は、それぞれに個別の行動モデルを有している。具体的には、利用するデバイス(コンピューター、スマートフォン、タブレット)とアカウント、使用する銀行サービス(インターネットバンキングなど)、そしてそれら要素が相互に関わる際のルールが含まれる数学的なグラフだ。このモデルは、インターネットとモバイルバンキングを使う顧客の特定の行動に関する、匿名化された収集データに基づいて構築されている。重要なことだが、このシステムは具体的な取引そのもの、扱われた金額の合計、請求書の詳細情報、名前などの情報は対象としていない。取引の秘密は秘密のまま保たれている。脅威の算出は、技術的なメタデータと、匿名化された行動の分析のみに基づいて実施される。
このような取り組みにより、さまざまな種類のサイバー詐欺を自動検知可能となっているのだ。
事例1:X氏は自宅のコンピューターでインターネットバンキングのアプリケーションを使用している。本人確認には銀行からもらったUSBトークンが必要だ。しかしある日のこと、悪意あるトロイの木馬が潜り込み(USBポートにトークンを差し込んだままにしていたのだ)、X氏の口座からこっそり送金を始めた。しかし銀行の詐欺対策システムにとっては「こっそり」ではなかった。このシステムは異常な動作をすぐに検知してブロックし、銀行のセキュリティ部門に通知した。
実際に、利用者の行動の標準モデルから逸脱する動作はすべて、疑わしいものと見なされる。さらに、このモデルが年月を経るほど、つまり利用者の銀行利用歴が長くなるほど、ごくわずかな異常であっても疑わしいと判断されるようになる。そして、疑惑のしきい値に達するか重大な事案が起きるかすると、システムは銀行に通知を送り、銀行は次なる手順を決定する。操作が正当であることの確認を求めるメッセージを利用者に送るのか、銀行のカードを止めるのか、専門家を呼んで調査してもらうのか、などなど。
事例2:トランプトンの街に住むY氏は、インターネットバンキングのログインアカウントとパスワードを、日記帳の最後のページに書き留めることにした。日記帳はアパートメントの部屋に放り出してあることが多い。何らかの理由で、このお粗末なセキュリティ状況をどこぞのサイバー詐欺師が嗅ぎつけ、ログインアカウントとパスワードを盗み、Y氏の口座にアクセスしようとした。しかしこの詐欺師が使ったのは、トランプタウンの街(トランプトンからは3,000kmも離れている)にある、(銀行に)認識されていないデスクトップだった。ほんの5分前に、Y氏本人がトランプトンのインターネットプロバイダーのIPアドレスを経由して祖母に100ドルを送金したばかりだったため、システムは詐欺行為が発生している可能性が非常に高いと即座に判断し、操作をブロックした。
デバイス、ユーザーアカウント、バンキングサービスの間における相互の関わりのルールが、保護システムのロジックを成す。ルールはあらかじめ指定することもできるし(サイバー詐欺の仕組みを分析した情報をもとに、開発企業の専門家が作成する)、クラウドベースとすることも可能であるし(自動機械学習テクノロジーによってリアルタイムで作成される)、銀行の偏執性の度合いセキュリティポリシーに沿う形で銀行が設定することもできる。
あなたの銀行口座を守るために裏で何が行われているか、お分かりいただけただろうか。もちろん、システム内ではもっと多くの副次的なテクノロジー、たとえば特許出願中のもの(リンク先は英語)やら博士号保持者の説明が付いたものやらが使われているが、この短いブログ記事では説明が収まりそうにない。何か質問があれば、コメント欄で知らせてほしい。
そういうわけで、気休め程度のセキュリティ製品が横行する時代に、わずかであってもテクノロジーに関する知識を持つことは、いんちきマーケティングへの対抗策として有効であることが判明した。本当に効果があり、他よりも優れた正しいサイバーセキュリティ製品を選ぶのにも役立つ。それに、実際のところ自分がどのように守られているかの詳しい状況が分かるのはなかなか良いものだし、好奇心も満たされる。
新しいおもちゃを与えられると、子どもはどうするだろうか。中身を見ようとしてバラバラにするものだ。好奇心は猫の、いや人間の本能だ。もっと賢く、もっと強くなろうとして基本に立ち返るのは、いくら歳を重ねても遅くはない。
今日のところはこのへんで。また近いうちに、このタグとともに現れるつもりだ。