インターネットバンキングサービスのフィッシング対策を強化！ 〜「EV SSL証明書」と「フィッシングサイト閉鎖サービス」を導入〜

　（株）NTTデータは、個人向けインターネットバンキングサービスANSER-WEB（アカウントアクセス）^®および法人向けインターネットバンキングサービスANSER-WEB（アカウントアクセス）コーポレートエディション^®（^注1）を利用する金融機関向けにフィッシング詐欺（^注2）対策強化を目的として、日本ベリサイン株式会社が提供するEV SSL証明書「ベリサイン グローバル・サーバID EV」ならびにRSAセキュリティ株式会社が提供するフィッシングサイト閉鎖サービス「RSA　FraudAction^®」（アールエスエー・フロードアクション）を本年4月より順次導入を開始しました。
　これにより、サイトの実在性、正当性がより厳格に確認できるとともに、フィッシングサイトが出現した場合には迅速に閉鎖させることが可能となります。

　昨今、日本においてもフィッシング詐欺犯罪は増加の一途をたどっており、銀行等のホームページに見せかけた偽のサイト（フィッシングサイト）が発生し被害が出ているケースも見られるようになっています。また、昨年改訂された金融庁からのセキュリティに対する監督指針ではインターネットバンキングのフィッシング詐欺対策の強化も強く求められている状況でもあります。
　NTTデータでは、こうした状況を踏まえ、サイトの信頼性を確認するための「EV SSL証明書」および「フィッシングサイト閉鎖サービス」を約80の金融機関にご利用いただいているANSER-WEB（アカウントアクセス）ならびにANSER-WEB（アカウントアクセス）コーポレートエディションに導入し、フィッシング対策の強化を図ってまいります。

1. 背景
   　これまで、当社では2要素認証（通常のID･パスワードに加えて他の認証方法を組み合わせること）によるセキュリティ強化策として、個人向けインターネットバンキングサービスではワンタイムパスワード、法人向けインターネットバンキングサービスでは電子証明書の導入を実施してまいりましたが、フィッシング詐欺被害の増加がますます顕著になっている状況を踏まえ、これまでのセキュリティ対策に加え、利用者自らがサイトの信頼性を識別できる手段の提供や、フィッシングサイトが構築された場合にサイトの閉鎖まで実施できる施策が新たに求められている状況であると認識しています。
   　日本ベリサイン株式会社の「ベリサイン グローバル・サーバID EV」は､Internet Explorer7を利用する場合、ソフトのダウンロードを要することなく、正当なサイトであればアドレスバーが緑色表示になり、サイト運営者も表示することができるため、利用者が視覚的にサイトの正当性を確認できる点がメリットと考え、導入を決定しました。
   　また、フィッシングサイトの閉鎖については、その大半が海外で発生している実情を踏まえ、海外のフィッシングサイトの閉鎖にも数多くの実績を持ち、24時間・365日いつでもサイトの閉鎖が可能であり、都市銀行等国内金融機関での導入実績もあるRSAセキュリティ株式会社の「RSA　FraudAction」を採用し、金融機関への提供を開始することとしました。
2. サービス概要
1. 「ベリサイン グローバル・サーバID EV」（EV SSL証明書）
   1. サイト運営者の実在性の認証基準の厳格化
      　これまでより、一層厳格な全世界標準の認証ガイドラインに基づき、サイト運営者の実在性を認証しているため、アクセスしたサイトの正当性を確認できます。
   2. サイト正当性の視認性
      　Internet Explorer7では､EV SSL証明書を利用しているサイトの場合に、アドレスバーが緑色に表示されることにより、容易に利用者が正当なサイトであることを識別できます。
2. 「RSA　FraudAction」（フィッシングサイト閉鎖サービス）
   1. フィッシングサイトの迅速な閉鎖
      　金融機関からフィッシングサイトの閉鎖連絡をもらうことにより、フィッシングサイトのシャットダウンを実施できます。
   2. グローバルな24時間・365日のサービス
      　海外で構築されうるフィッシングサイトも対象とし､24時間､365日閉鎖を実施できます。
   3. 詐取情報の入手
      　フィッシングサイトの閉鎖だけでなく、既に詐取されてしまった個人情報等も入手できる場合には、それら情報を抽出・還元するサービスも行います。
3. 導入メリット
   利用者、金融機関にとってのメリットは以下の通りです。
1. 「ベリサイン グローバル・サーバID EV」（EV SSL証明書）
   1. 利用者にとってのメリット
      ・ 利用者はパソコンにてツールのダウンロード等を行うことなく^（注3）、アクセスしたサイトの正当性を容易に確認でき、安心してインターネットバンキング取引ができます。
   2. 金融機関にとってのメリット
      ・ 利用者に対し、安心・安全なインターネットバンキングサービスを提供できます。
      ・ NTTデータのインターネットバンキングを利用している金融機関は、個々に日本ベリサインに手続き申請をする必要がなくNTTデータが実施するため、導入に係る労力やコストを大幅に低減することができます。
2. 「RSA　FraudAction」（フィッシングサイト閉鎖サービス）
   1. 利用者にとってのメリット
      ・ 本サービスのための設定など一切準備を要しません。
   2. 金融機関にとってのメリット
      ・ 早期にフィッシングサイトの閉鎖ができ、利用者の被害拡大を防止できます。
      ・ 24時間365日、全世界で発生し得るフィッシングサイトの閉鎖が可能となります。
      ・ フィッシングサイトの閉鎖に係る連絡窓口の運営はNTTデータで提供するため、運用に係るコストを大幅に削減することができます。
4. 今後について
   　NTTデータでは、インターネットバンキング利用の金融機関へ、両サービスの利用を積極的に働きかけてゆく予定です。

注1　 ANSER-WEBは法人向けインターネットバンキングサービスと個人向けインターネットバンキングサービスがあります。法人向けサービスは、企業が、インターネットに接続するWebブラウザと電子メールソフトのみで残高照会、入出金明細照会、総合振込、給与振込といった各種バンキングサービスを利用することができるサービスです。NTTデータでは、法人インターネットバンキングサービスを実現する金融機関向け共同利用型サービスとして「ANSER-WEB (AAC) 」を提供しており、既に、都銀、地銀、信用金庫、信用組合ほか各業態で約80の金融機関に利用されています。 また、個人向けサービスは、個人が、インターネットに接続するWebブラウザと電子メールソフト、またはWebブラウザを搭載した携帯電話により残高照会、入出金明細照会、振込・振替といった各種バンキングサービスを利用することができるサービスです。NTTデータでは、個人インターネットバンキングサービスを実現する金融機関向け共同利用型サービスとして「ANSER-WEB（アカウントアクセス）」を提供しており、既に、地銀、信用金庫、信用組合ほか各業態で約80の金融機関がご利用されています。

注2　フィッシング詐欺とは、金融機関などからのメールや、金融機関のWebサイトを装い、偽者のWebサイトに認証情報を入力するように誘導して、サービスにログインするために必要なIDやパスワードを詐取する不正行為です。

注3　Windows Vista^TMのIE7の場合、利用者はソフトのインストール等の必要はありません。

注　「ANSER」「ANSER-WEB」は株式会社NTTデータの登録商標です。

注　その他の商品名、会社名、団体名は、各社の商標または登録商標です。