京都信用金庫ビジネスバンキングの特殊トークン認証システム体験記

by

はじめに

京都信用金庫のビジネス向けオンラインバンキング(有料サービス)の設定作業を通じて、一般的なネットバンキングとは一線を画す独自のセキュリティシステムに遭遇しました。この記事では特に、カラフルな二次元コードを用いたユニークな認証システムについて詳細に解説します。

ビジネスバンキングの基本設定プロセス

京都信用金庫の法人向けオンラインバンキング「京信ビジネスバンキング」の設定は、一般的なインターネットバンキングと同様にユーザー登録から始まります。公式名称は「コミュニティ・バンク京信(京都信用金庫)」が提供する「京信ビジネスバンキング」です。口座情報と基本的な個人情報を入力し、メールアドレスの登録・認証を行います。このプロセス自体は特別なものではありませんが、最終段階で特徴的なセキュリティデバイスの設定が求められました。

特殊なセキュリティトークンとの出会い

設定の中で最も印象的だったのは、トランザクション認証と呼ばれる仕組みに使用される専用デバイス(「トランザクション認証用トークン」)の初期設定です。このデバイスは単なる数字表示だけでなく、カメラ機能を備えており、画面に表示される特殊なパターン(カラー二次元コード)を読み取る仕組みになっています。

調査によると、このトークンはOneSpan社(旧VASCO Data Security社)が提供する「DIGIPASS」シリーズの製品で、特に「Cronto」と呼ばれる視覚的トランザクション署名技術を採用していることがわかりました。Crontoテクノロジーは、英国の大手銀行が最初に導入し、その後世界中の金融機関に広がった先進的なセキュリティソリューションです。

カラフルな二次元認証コードの技術的特徴

一般的なQRコードと異なり、京信ビジネスバンキングで使用される認証コードは色とりどりのドットパターンで構成されています。これは「カラーQRコード」あるいは「Crontoビジュアルコード」と呼ばれるもので、通常の白黒QRコードよりも情報密度が高く、また視覚的にスキャンしづらい特徴があります。

通常のQRコードが黒と白の二値で情報を表現するのに対し、このシステムでは複数の色を使用することで、より多くの情報を同じ面積に詰め込めます。また、カラーパターンの複雑さにより、スマートフォンの一般的なQRコードリーダーでは読み取れないようになっています。OneSpan社の特許技術により、これらのコードは特別なアルゴリズムで生成され、専用デバイスでのみ解読できるようになっています。

Crontoコードの最大の特徴は、取引内容自体が暗号化されてコードに埋め込まれる点です。これにより、マルウェアや「中間者攻撃(Man-in-the-Browser)」によって取引内容が改ざんされた場合でも、ユーザーはトークンの画面で正しい取引内容を確認できるため、不正取引を未然に防ぐことができます。

トランザクション認証の仕組みと操作手順

京信ビジネスバンキングで採用されているトランザクション認証は、金融取引のセキュリティを強化するための仕組みです。これは、ユーザーが行う取引(トランザクション)の内容が通信途中で改ざんされていないことを確認し、安全に実行するための認証方式です。

認証プロセスは以下のような流れで進みます:

  1. まず、デバイスの電源をオンにし、「The device is activated.」というメッセージが表示されることを確認します
  2. 振込などの重要取引を行う際、ウェブ画面に特殊なカラー二次元コードが表示されます
  3. トークンの専用ボタンを押してカメラモードに切り替え、この二次元コードをスキャンします
  4. スキャンが成功すると、トークンの画面に取引内容(振込先、金額など)が表示されます
  5. ユーザーは表示された内容を確認し、問題なければトークンに表示される「トランザクション認証番号」(8桁の数字)をウェブ画面に入力します
  6. 認証番号の検証が成功すると、取引が実行されます

この方式は「チャレンジレスポンス認証」と呼ばれる仕組みの一種で、サーバー側からの「チャレンジ」(カラーコード)に対して、正しい「レスポンス」(認証番号)を返すことで本人確認を行うものです。重要な点は、トークンに表示される取引内容がウェブ画面で入力した内容と一致しているかをユーザー自身が確認できる点で、これによりマルウェアによる振込先や金額の改ざんを見破ることができます。

Cronto(クロント)技術の起源と特徴

調査によると、このカラー二次元コード技術は「Cronto」(クロント)と呼ばれ、もともとは英国ケンブリッジ大学のスピンオフ企業であるCronto社によって開発されました。同社は2013年にセキュリティ大手のVASCO Data Security社(現OneSpan社)に買収され、現在はOneSpanの主要セキュリティ技術として提供されています。

Crontoの最大の特徴は「What You See Is What You Sign(見えるものが署名するもの)」の原則に基づいていることです。これは、ユーザーが確認できるのはトークンデバイスに表示される情報だけであり、その情報が銀行側のサーバーから直接暗号化されて送られてくるため、途中で改ざんされる可能性が極めて低い点にあります。

OneSpan社によると、Crontoのカラービジュアルコード技術は、その独自のパターンと色の使用により、情報密度とセキュリティレベルの両方で優れた性能を発揮します。また、視覚的に区別しやすいパターンを使うことで、ユーザーがコードを間違えて読み取る可能性も低減されています。

多要素認証としてのトランザクション認証

京信ビジネスバンキングのトランザクション認証は「多要素認証」の一環として機能します。多要素認証とは、「知っているもの(パスワードなど)」「持っているもの(物理デバイスなど)」「本人自身の特徴(生体認証など)」という複数の要素を組み合わせて本人確認を行う方法です。

このシステムでは、通常のID・パスワードに加えて、このトークンデバイスを「持っているもの」として追加することで、セキュリティレベルを大幅に向上させています。仮にID・パスワードが漏洩しても、この物理デバイスがなければログインや重要な取引ができない仕組みになっているのです。

さらに、トランザクション認証は単なる認証だけでなく、取引内容の正当性を保証する「電子署名」としての役割も果たします。トークンに表示される認証番号は取引内容によって変化するため、取引内容が異なれば異なる認証番号が生成されます。これにより、不正な取引が行われようとした場合でも、正しい認証番号を生成することは極めて困難になります。

法人向けバンキングにおける厳格なセキュリティの意義

個人向けネットバンキングと比較して、法人向けビジネスバンキングではより高額な取引が想定されるため、セキュリティ要件も厳格になります。特に近年増加している「MitB(Man-in-the-Browser)攻撃」と呼ばれる、ブラウザを介した高度なマルウェア攻撃に対抗するため、単純なワンタイムパスワード認証だけでは不十分とされています。

Crontoのようなビジュアルトランザクション署名技術は、このような高度な攻撃に対抗するために開発されました。この技術を採用している金融機関は世界的に増加しており、日本でも三井住友銀行やみずほ銀行などの大手銀行がOneSpanのDIGIPASS製品を導入しています。

京都信用金庫のような地域金融機関においても、大手銀行と同等以上の先進的なセキュリティ対策を導入している点は注目に値します。このような多層的なセキュリティシステムは、オンラインバンキングの信頼性向上に大きく貢献しています。

便利さとセキュリティのバランス

一見すると、こうした厳格な認証システムは使い勝手を損なうように思えますが、実際にはユーザビリティとセキュリティのバランスが考慮されています。カメラで読み取るだけの簡単な操作で高度な認証が完了するため、長いパスワードを手入力する手間はありません。

また、多くの金融機関では複数ユーザーが同一のトークンを共有できるよう設計されており、企業内での運用負担を軽減しています。ただし、銀行ごとに専用のトークンが必要であり、異なる銀行間でトークンを共用することはできません。

まとめ

京都信用金庫のビジネスバンキングで採用されているCrontoテクノロジーによるトランザクション認証システムは、一般的なQRコードとは異なる独自の技術で、高度なセキュリティを実現しています。カラフルな二次元コードとカメラ付きトークンデバイスの組み合わせにより、マルウェアや詐欺攻撃に対する強力な防御を提供しつつ、使いやすさも確保している点が特徴です。

このような先進的セキュリティ技術の採用は、近年急増するサイバー脅威に対する金融機関の本格的な取り組みを示すものであり、今後のオンラインバンキングにおけるセキュリティ基準の一つとなっていくでしょう。

  1. 京信ビジネスバンキング – トランザクション認証について – 京都信用金庫の公式サイトによるトランザクション認証の説明
  2. 京信ビジネスバンキング – 操作ガイド – トランザクション認証用トークンの初期設定方法の詳細ガイド
  3. Cronto Visual Transaction Signing | OneSpan – OneSpan社のCronto視覚的トランザクション署名技術の公式説明
  4. トランザクション認証 | 三井住友信託ビジネスダイレクト – 他行におけるトランザクション認証システムの説明と比較
  5. One Span(旧Vasco Data Security)| 株式会社テリロジー – OneSpan(旧VASCO)社の認証ソリューションの詳細情報
  6. セキュリティトークン – Wikipedia – セキュリティトークンの基本概念と種類に関する解説
  7. Secure Transaction Signing | OneSpan – トランザクション署名技術とその仕組みに関する詳細説明
  8. Authentication Software | OneSpan – モバイル認証やトークン認証などの認証ソフトウェアに関する情報
  9. Video | How Cronto Visual Transaction Signing Helps Prevent Social Engineering Attacks – ソーシャルエンジニアリング攻撃対策としてのCronto技術の解説