eKYCのセキュリティリスクにはどのようなものがあるのか、eKYCは偽装などを見抜ける精度があるのかなどについて詳しく解説します。
オンライン上で本人確認が完結できるeKYCは、企業や顧客側にメリットが大きい一方で、セキュリティリスクについても考えておかなくてはなりません。
eKYCの抱えるセキュリティリスクについては、個人情報漏洩のリスクが多いリスクと言えるでしょう。
顧客が申込み時にアップロードした本人確認書類と容貌画像、住所や生年月日といった個人情報を企業のサーバー上に大量に保管をすることになるため、サーバーへの攻撃などによって大量の個人情報が漏洩するリスクがあります。
また、eKYCを行うアプリなどに脆弱性が見つかった場合などにも個人情報漏洩のリスクが高まりますので、あらかじめセキュリティリスクを考えたうえでeKYCの導入・運用をしましょう。
eKYCのリスクのひとつに、偽装やなりすましという問題もあります。
eKYC側でどのような対策を行っているのか確認をしてみましょう。
IDやパスワードなどでの認証を行った後、登録されている携帯番号へ認証コードを送付後、入力を求めるなど、二段階での認証を行うことで、偽装などの不正を突破されるリスクを回避しています。
パスワードなどの「知識」、ハードウェアなどの「所持」、指紋などの「生体」の3つの要素から、2つ以上組み合わせることで、偽装や不正による突破のリスクを回避しています。
eKYCは、全てがオンラインで完結するサービスです。そのため、Webサイトやアプリがサイバー攻撃を受けていた場合、情報漏洩などに繋がるおそれがあります。
ここからは、代表的なサイバー攻撃の種類や概要を紹介します。サイバー攻撃はeKYCに限らず、どのWebサービスにも起こりうるリスクですので、基本的な知識として備えておいてください。
eKYCサービスを利用していて起こりうるのは、以下のようなサイバー攻撃です。
アクセス権限が与えられていないにもかかわらず、外部から不正にサーバやシステムに侵入することを不正アクセスと言います。不正アクセスは、国内のみならず海外からの侵入もあり得る行為です。
特定の方法でIDやパスワードが割り出されてしまうと、不正に侵入されて機密情報が盗まれたり改ざんされたりします。複数のWebサイトやアプリで同じIDやパスワードを使い回していると、標的になりやすいため注意が必要です。
中には、プログラムによってあらゆる文字の組みあわせを試行して、IDとパスワードを破ろうとする「ブルートフォースアタック」という手口もあります。一度IDとパスワードが知られてしまうと、他のWebサイトでも試されて被害が拡大する「パスワードリスト攻撃」なども代表的な不正アクセス攻撃のひとつです。
なりすましとは、本物の企業やユーザーを装ってシステムにアクセスするサイバー攻撃です。代表的な手口に「フィッシング」や「マルウェア」があります。
フィッシングは、実在する企業のWebサイトなどに偽装してユーザーをログインさせ、偽物と気づかずにログインしてしまうと、名前や住所クレジットカードの暗証番号などの個人情報が盗まれます。
一方、マルウェアは、コンピューターウイルスやスパイウェアなど悪意で作られたプログラムの総称で、企業になりすましてマルウェア入りのファイルをメールで送り付ける手法が代表的です。
ファイルをダウンロードしてしまうとマルウェアに感染し、個人情報が流出するおそれがあります。
最近では、AIを用いて人工的に顔写真を合成し、オンラインの本人確認でなりすましを行う「ディープフェイク」も増えてきました。eKYCの導入を検討しているなら、ディープフェイク対策がされているeKYCサービスかを確認することも大切です。
大量のPCから集中的にアクセスし、意図的にWebサーバーをダウンさせて、正常なサービスの提供を妨げる攻撃です。サーバーにアクセスが集中して大きな負荷がかかり過ぎると、サーバーダウンが起こり外部からWebサービスへのアクセスができなくなります。
DoS攻撃の中には、マルウェアに感染した機器を遠隔制御して、複数のIPアドレスから一斉に攻撃を仕掛ける「DDoS攻撃」もあります。
不具合やバグ、設計上のミスなどプログラムの脆弱性によって起こるセキュリティ上の欠陥を利用するサイバー攻撃です。代表的な手口に、「SQLインジェクション」と「クロスサイトスクリプティング」があります。
SQLインジェクションによる攻撃を受けると、データベース上の顧客データなどが不正に読み取られる、または改ざん・削除される可能性があります。
クロスサイトスクリプティングとは、Webサイトの記述言語「HTML」に、悪質な言語(スクリプト)を設置する手口です。スクリプトが実行されると、ユーザーの個人情報やCookieが知らないうちに盗まれたりマルウェアに感染したりするおそれがあります。
複数の拠点を持つ大手企業の子会社や取引先の中小企業をターゲットにしてサイバー攻撃を行い、最終的には大手企業を狙うサイバー攻撃です。
はじめに子会社や中小企業を狙う理由は、大手企業に比べてセキュリティ対策が手薄となっているパターンが多いためで、実際に企業の機密情報や顧客情報を盗まれる被害が相次いでいます。
eKYC自体で反社チェックを行うことはできません。
しかし、eKYCを提供する各ベンダーで、「eKYCのオプション」として反社チェックなどの「リスク情報検索」などを提供している場合もあります。
反社チェックなどのリスク情報検索が必要な場合は、対応しているベンダーのeKYCを導入するとよいでしょう。
企業や顧客にとって便利なeKYC。
これからも市場規模が伸びていくことが予想されますので、個人情報の漏洩事故などを起こさないようにする必要があります。
そのためには、自社のシステムや運用に合っている製品を選ぶことが大切です。
とはいえ、さまざまな企業でeKYCを開発しているため、どのeKYCがよいかわからないという方も多いでしょう。
そこで、編集チームがおすすめする導入実績が豊富なeKYC開発ベンダーを3社ピックアップしましたので、あわせてチェックしてみてください。
企業側にとっても顧客側にとっても大きなメリットのあるeKYCですが、オンライン上で取引を行うため、その分セキュリティリスクも潜んでいます。
便利なシステムであるということと同時に、リスクについてもしっかりと把握しながら導入・運用していくことが大切です。
短期間導入・AI自動審査で
業務効率UP可能なeKYC
社内SEと要件定義から
開発設計・導入
金融機関水準の
セキュリティで導入