不正送金は増える一方なのに、設定はそのままになっていませんか。三菱UFJ銀行は「三菱UFJダイレクト」で多層の守りを明記しています。追加認証、常時監視、通信の暗号化、なりすまし対策までそろいます。要は仕組みと使い方の両輪です。どこを押さえれば安全度が上がるのか。実装の中身を短くかつ要点でひもときます。
追加認証とメール対策を中心に実装の要を押さえる
ログイン時の安全強化として、三菱UFJ銀行はワンタイムパスワードを採用しています。普段と異なる環境からのアクセスと判定された場合は、IBログインパスワードに加え、SMSまたはEメールで届く6桁コードの入力が必要です。さらにリスクが高いと判断したアクセスはログイン不可とする制御を明記しています。これにより、パスワード流出だけでは突破しづらい設計になります。運用の要は連絡先の正確性です。確実に受け取れる携帯電話番号やEメールアドレスを登録し、変更時は速やかに更新することが前提条件です。
ネットワークとシステム面では、複数のファイアーウォールと主要機器の二重化で防御と可用性を確保しています。通信はTLSで暗号化し、盗聴や改ざんのリスクを低減します。インターネットからの攻撃は24時間体制で常時監視され、異常時は即応できる体制を示しています。取引画面間の連続性確認にはCookieを利用しますが、個人情報や取引内容はCookieに保存しないと説明しています。Cookieを無効化するとログインできないため、有効化が必要です。これらはサーバとネットワーク、利用環境の組み合わせで守る多層防御の要素です。
メールのなりすまし対策として、送信元ドメイン認証のDMARCを導入し、BIMIにより対象ドメインからのメールにMUFGロゴを表示します。対象メールドメインはdirect-11.bk.mufg.jpです。DMARCにより同一ドメインの詐称は遮断対象になります。一方で、似た文字を使った偽ドメインや本文だけを模倣する手口には効果が及ばないと注意を促しています。BIMIのロゴ表示も、未対応のメールソフトでは表示されない可能性があります。ロゴの有無だけで真偽を判断しないことが重要です。送信元のドメイン名と通知内容を必ず確認することが求められます。
端末側の保護策として、IBMのRapportを紹介しています。インターネットバンキングを狙うウイルスの検知や駆除ができる無料のPC向けソフトです。ネット詐欺は端末感染が起点になる事例が多いため、サーバ側の防御と端末側の防御を併用する狙いです。費用負担なく導入できる点が利便性につながります。あわせて、三菱UFJ銀行は不正利用が心配になった場合の手続き案内や、主な犯罪事例、日常の対策を参照できる情報を整理しています。利用者が自ら確認し、すぐに行動へ移せるような導線を備えています。
実装のポイントは、六つにまとまります。第一に、追加認証でログインを堅牢化することです。第二に、連絡先情報を最新の状態に保つことです。第三に、Cookieを有効にして連続取引を成立させることです。第四に、TLSで暗号化された正規サイトで手続きすることです。第五に、DMARCとBIMIの仕組みを理解し、ロゴの有無だけで判断しないことです。第六に、Rapportで端末の感染リスクを下げることです。いずれも追加費用なしで実施できます。
見解として、多層防御は単一要素の破綻を想定した設計で、設定と運用が整って初めて最大効果を発揮します。通知先と端末環境の整備が、安全性を押し上げる最短手段です。
詳しくは「三菱UFJ銀行」の公式ページまで。 レポート/DXマガジン編集部
