7Payの事件で一気に社会的認知度が上がった『多段階認証』ですが、ドイツの銀行で多段階(要素)認証としえてSMS(OTP)の使用が停止される様です。
www.helpnetsecurity.com
ドイツの銀行は2番目の認証/検証要素を提供するためにSMSの使用をやめる
ドイツのビジネスニュース企業Handelsblattによると、民間、協同組合、公共を問わず、多くの銀行がこのオプションの提供を中止しているか、年末までにオプションを削除することを計画しています。これらの中にはPostbank、Berliner Sparkasse、Consorsbankなどがあります。
その理由は主にセキュリティと規制への準拠によるものです。
多くの人々が彼らの携帯電話/スマートフォンを介して彼らのオンラインバンキングをするので、ハッカーは不正な取引を実行するのに必要とされるすべての情報を得るためにこの装置だけを妥協する必要があります。また、ユーザーは自分のオンラインバンキングの認証情報を危険にさらし、銀行から送信されたと思われる偽のテキストメッセージで標的にすることもできます。
攻撃者がSIMのスワップを実行してターゲットの電話を偽装し、不正な取引を検証することも一般的になりつつあります。そして最後に、SS7プロトコルの長い間知られているセキュリティの脆弱性を悪用してドイツの銀行の2要素認証を回避し、顧客の銀行口座を流出させるという犯罪者の事例があります。
Handelsblatt氏によると、ドイツ連邦情報セキュリティ局(BSI)は、SMS-TANを使用することによるセキュリティ上のリスクについて何年にもわたって警告しており、mTanプロセスが悪用されるケースも増えています。
また、銀行およびその他の決済サービスプロバイダは、EUの消費者が行う遠隔の電子取引を「強力な顧客認証」(SCA)を使用して承認することを義務付けるEU Payment Services Directive 2(PSD2)に準拠する必要があります。
「強力な顧客認証」とは、知識(ユーザーだけが知っているもの)、所有(ユーザーだけが所有しているもの)、および自信(ユーザーが所有しているもの)に分類される2つ以上の要素の使用に基づく認証を意味します。 1人の違反が他の人の信頼性を危うくすることはなく、認証データの機密性を保護するように設計されていると、指令は述べています。
(HelpnetSecuirty記事より引用)※機械翻訳
◆キタきつねの所感
NISTの推奨も確かSMSでのOTPが多段階(要素)認証から外れる事を示唆していたかと思いますが、まさにドイツでは、SMS経由でのOTPを信じなくなってきたという事なのかと思います。その理由として、中間者攻撃や、日本では攻撃事例を知りませんがクローンSIMを使った攻撃、あるいは公衆交換電話網を制御するためのプロトコル標準規格のSS7を使った攻撃への懸念が挙げられています。
the01.jp
SS7を攻められた事例として、下記ソースが元記事にありましたが、2017年にはドイツの銀行の2要素認証を回避して顧客の銀行口座が空になる事件が発生している様です。
www.helpnetsecurity.com
7Payの記者会見を受けて、2段階認証の注目度が上がってますが、日本のサービス事業者に多いSMS-OTPを使った2段階認証は、世界標準からは外れていく傾向な気がしますので、7Payが実装するとした2段階認証がどの方式になっていくのか気になる所です。
「7pay(セブンペイ)」に対する不正アクセスの件(第 3 報)セキュリティ対策の強化を目的とした新組織発足のお知らせ
【今後導入予定の対応策(一例)】
1)「7pay」二段階認証の導入
2)「7pay」チャージ 1 回あたりの上限額の見直し
3)グループ横断的・包括的なセキュリティ設計コンセプトの見直し
4)セキュリティ評価方法および範囲の見直し
(7Payニュースリリースより引用)
因みに、NISTの内容は以下に詳しく書いてあります。
japan.zdnet.com
参考
foxsecurity.hatenablog.com
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴