79％が「銀行からのメールに反応しなくなった」――米国 RSA Security 調べ

RSA セキュリティ株式会社は24日、金融機関に対する米国人のセキュリティ意識調査の結果を発表した。この調査は、米国在住で1つ以上の銀行口座を持つ成人402人に対して、オンラインバンキングの認証や、フィッシングなどの電子メールによる不正行為に対する意見を聞いたもの。

オンラインバンキング認証機能に関する意見を求めたところ、回答者の73％は「銀行は静的な固定ユーザー名とパスワード以外の、より強力な認証方法を使用すべきである」と回答。ハードウェアトークン、電子透かしや、リスクベース認証などのいくつかの選択肢を提示したところ、回答者の大半74％はリスクベース認証による方法を選択した。

リスクベース認証は、ログオンするロケーション、IP アドレス、トランザクション実行時のふるまいなどの要素に基づいて、ユーザー ID を利用者の見えないところで判定する方式。リスクが高いと見なされるトランザクションについては、電話や追加認証のために本人に電話をかけて確認したり、本人しか答えを知らない質問を行う。

また回答者の79％は、フィッシングなどの詐欺行為の直接的な影響により、銀行からの電子メールに対して反応する確率が減少したと述べた。これは、2004年11月の70％から増加している。

さらに、回答者の65％は受信したフィッシングメール量が微増した、または変化なしと回答。24時間×週7日体制で稼動している Anti-Fraud Command Center (AFCC) でも、過去8か月間で検知したフィッシング攻撃は月間2,500〜3,300件程度で推移しており、毎月微増しているとの同様の結果を確認している。

この結果は、フィッシング攻撃が2倍に増えたと利用者が回答した2004年11月の調査結果とは対照的だが、RSA セキュリティでは「2004年のフィッシング攻撃の爆発的増加が収束していることを裏づけているものの、フィッシングが一時的な流行ではないことも立証している。フィッシングは不正行為として定着してしまっていると言える」と分析する。