セキュリティ Feed

2017年10月15日 (日)

ポーランドで携帯IDカード

ポーランドでは2018年から携帯電話に個人のIDカードを登録し、持ち運べるようになる。

 

これと同様のシステムはすでにオーストリアやエストニアで利用されている。

 

ポーランド政府は現行法の改正を準備中。警察などに提示を求められた際は、携帯電話のIDカードですむ。

 

この新システムは徐々に拡大する予定。運転免許証や車検証、学生証なども順次デジタル化して、モバイルで表示できるようにする計画だ。

 

ポーランドの人口は3,800万人。全国民のID情報はクラウドに格納される。携帯電話にはデータを残さない。

 

利用する際には、テキストメッセージで受け取るコードを入力する必要がある。セキュリティのためだ。2要素認証である。

Polandid

2017年10月14日 (土)

米国で社会保障番号の廃止議論

米国で個人を特定する社会保障番号(Social Security Number:SSN)の廃止議論が広がっている。日本のマイナンバーに相当する個人特定番号だ。

 

なぜ廃止なのか。社会保障番号は一旦盗まれると、変更できないためである。ホワイトハウスのサイバーセキュリティのトップであるRob Joyce氏は、社会保障番号を使うたびに、危険にさらしているとコメントした。

 

議論の発端となったのは、個人信用情報を扱うエキファックス(Equifax)の個人情報3億件が盗まれたこと。そのうち1億4,300万人の社会保障番号にハッカーがアクセスしている。

 

社会保障番号はもともと連邦政府の退職金給付コードだった。それが、個人を特定する識別子に発展したが、時代はデジタルへと変遷している。

 

米国政府は社会保障番号に代わる新たな本人特定方法を検討中だ。それは公開鍵や秘密鍵を使った暗号識別子である。

Photo

2017年9月12日 (火)

1億人超の個人信用情報ハッキング

米国個人信用情報センター大手のエキファックスで、大量のデータ漏洩が発覚した。その数なんと1億4,300万件。

 

日本の人口より多い。米国の人口は3億2,400万人。その44%に相当するデータが盗まれた。

 

発見したのは7月29日。発表は9月7日だった。データには、氏名、住所、誕生日、クレジットカード番号、社会保障番号、免許証番号などが含まれている。

 

ハッカーは米国Webサイトの脆弱性を悪用して、個人信用情報ファイルにアクセスしたようだ。

 

問題なのはデータ漏洩が発覚したのち、3人のエグゼクティブがエキファックスの株を売り抜けたこと。社内コンプライアンスを遵守するという基本的なことも守られていない。こんな体制ではハッキングも防げない。

Equifaxhp1709

2017年5月23日 (火)

カード犯罪のターゲットは

米国でクレジットとデビットカードの不正アラートが止まらない。2015年から15%増えた。調査したのはCreditCard.com。

 

クレジットカード不正アラートを受け取ったのは、米国成人の31%。デビットカード不正アラートは米国成人の25%になる。

 

テキストメッセージやEメールが普及しているにもかかわらず、ほとんどの不正アラートは有人による電話連絡だ。

 

アラートを受け取った人の世帯年収をみると、高所得者の方が多い。7,5万ドル以上の世帯は68%、3万ドルから5万ドル未満が40%、3万ドル未満になると26%と下がる。

 

不正を働く悪人はリターンの多いターゲットを狙う。高額所得者のクレジットカードは限度額が高い。デビットカードは当座預金残高が限度。デビットよりクレジットが狙われるのはそのためである。

Photo

2017年5月16日 (火)

ハッカーに狙われた香港証券会社

香港の証券会社が狙われている。2017年3月末までの18カ月間のハッキング件数は27件。12社が被害にあった。

 

顧客のネット取引口座を盗み、不正な証券取引を行なっていた。被害総額は1.1億ドル、120億円を超える。

 

この被害に対し、香港SFC(Securities and Futures Commission)がサイバーセキュリティ強化ルールを提示した。このガイドラインでは20項目のセキュリティ要求を設定している。

 

2要素認証や、通常の利用パターンからはずれたアクティビティに対し即座に通知するサービスが含まれている。

 

ハッカーは脆弱なシステムを狙い、集中攻撃をかけてくる。これまで香港の証券会社のセキュリティはプリミティブなものだったようだ。

Photo

2017年4月18日 (火)

非接触カードを盗まれたら

例えば日本の交通系電子マネーを落としたとしよう。そのカードの残高は拾った誰かに使われてしまう。阻止しようとしてもできない。

 

それは電子マネーのトランザクションが、カードと端末間だけで決済されるからである。リアルタイムにトランザクションがネットワークに連携されないため、カードの残高は誰でも使えてしまう。

 

これをオフライン取引という。現在欧州の非接触決済のうち45%がオフラインだ。欧州や豪州で非接触決済が浸透するにしたがい、カードの不正利用が問題視されるようになってきた。

 

英国を含む欧州では、消費者保護の観点から非接触決済のオンライン化を進める動きが加速している。英国の金融執行機関(FCA)は、非接触カードの紛失盗難の連絡を受けたカードブランドや発行会社に対し、すぐにトランザクションを止められる施策を取るよう要請した。

 

これを受け、Visaは2017年中に欧州10カ国で、非接触決済のオンライン化を推進することになった。Amexはフロアリミットをゼロにすることも含め検討している。

Stopcontactlessfraud

2017年4月 6日 (木)

なぜデビットカード不正が急増したか

磁気カードからICカードへの移行を促進し、不正防止を強化しているにもかかわらず、米国では特定の不正が急増している。

 

FICOによると、2016年に一番増えたのはデビットカード不正である。ATMでのカード情報ハッキングで、前年比70%もアップした。

 

特にグローサリーストアなどの小売店頭のATMはICカード対応していないため、磁気情報をハッキングされている。

 

FICOによると、ノンバンクが運営するATMでの不正が60%を占めている。残りが銀行ATMとPOSである。つまり、ICカード対応していないATMが狙われているのだ。だからデビットカード不正が多い。

 

ハッカー達にとって、セキュリティの抜け穴を突くのはいとも簡単。カード番号を使わないトランザクションに(トークン化)しなければ、いつまでたっても不正は減らない。

Debitfraud

2017年4月 2日 (日)

MasterCardのIoTセキュリティ強化への一手

IoTの安全性に対する懸念が高まっている。特にIoTでの決済となると、セキュリティ強化は必須だ。

 

というわけで、決済や金融業界ではセキュリティ会社の買収や投資熱が高まっている。

 

MasterCardもセキュリティ強化に積極的な1社。NuData Securityを買収すると発表した。

 

NuDataは生体認証(Passive Biometrics)を使い、オンラインやモバイルの不正防止のソリューション(NuDetect)を提供している。

 

MasterCardはNuDataを既存のリスクマネジメント部門の傘下に組み込み、決済サービスのセキュリティを強化する。

Nudata1703sss

2017年3月26日 (日)

サムスンが顔認証決済へ

サムスンは新機種ギャラクシーS8のリリースにあわせ、決済に新認証機能をつけた。それが顔認証。

 

いまのところ、アップルのディバイスは指紋認証だけ。サムスンはセキュリティの優位性を確保するため、指紋認証に加え、虹彩認証と顔認証を追加した。

 

金融機関は独自モバイル決済をギャラクシーS8利用者向けに推奨しやすくなる。Samsung Payでも利用できる。

 

これまでもギャラクシーには顔認証でロック解除の機能はあったが、それを決済に拡大した。

 

顔認証はリアル店舗での利用というよりはモバイルコマースでの利用に有効だろう。親のスマートフォンで遊んでいる子供たちが、誤って変なものを買ってしまうことを防げる。

Facialr

2016年12月16日 (金)

アメックスが買収した会社

アメックスは2016年12月6日、インオース(InAuth)の買収を発表した。インオースは2011年創業のフィンテックベンチャー。これまで2回のラウンドで3,075万ドルを調達している。

 

インオースは金融機関向けに、モバイル不正防止のための本人認証や防止ソリューションを提供。強みはデータ分析・加工である。

 

アメックスはインオースの買収で、カード申込契約から回収までトータルなリスクマネジメントのクオリティを高められる。最近はモバイルによるトランザクションが急増しているが、ここにインオースのソリューションを役立てる。

 

アメックスのデジタル決済調査によると、米国マーチャントのモバイルチャネルやオンラインチャネルでの売上は、2015年対比70%増えている。が、同時に60%のマーチャントが何らかの不正を経験しているという。

 

インオースの買収は、この課題を解決する一助となる。セキュリティはアメックスにとって最重要課題のひとつ。買収で決済業界における不正防止のリーダーとしてのポジションを不動のものにしようという算段だ。

Inauthsssss

【NCBよりお知らせ】

  • New Payments Report 2016
    2016年5月3日発行
    『New Payments Report 2016
    激変する決済風景』
    モバイルやすべてのモノがインターネットに繋がるIoT。
    決済ネットワークは無線を中心としたものになり、国際ブランドに依存しない、オープンな独自決済ネットワークがつぎつぎに登場している。
    今後の決済ビジネスにどんな影響があるのか。
    2015年のトピックス、2020年の風景予想、事業者の戦略など、サービスの予測や開発のヒントになる重要な要素を網羅した。

Twitter

Powered by Six Apart