シンガポール政府が行政利用する「SingPass」からハードウェアトークン(OTP)が消える様です。
www.theregister.co.uk
2016年、政府はSingPassアカウントの2要素認証(2FA)を有効にしてセキュリティを向上させました。この対策では、ユーザーはアカウントにアクセスするために、通常のパスワードに加えて、物理的な「OneKey」トークンからコードを入力する必要がありました。
しかし、今日、政府はログインの2パーセントしか占めていない物理的なトークンを廃棄する計画を発表しました。新しいトークンと交換品は10月から発行されなくなり、来年の4月から完全に機能しなくなると政府は述べています。
政府は代わりに、2018年にリリースされたSingPassモバイルアプリの使用をユーザーに奨励しています。このアプリは、指紋、顔認識、または6桁のパスコードを使用してアクセスを許可し、SMS 2FAとともにログインの98%を占めます。
通常の政府サービスに加えて、SingPass Mobileを使用すると、保険やシンガポール国立雇用者連盟のWebサイトにある助成金ポータルなど、一部の民間サービスにアクセスできます。
(中略)
しかし、アプリが優先されます。当然のことながら、SMS 2FAは十分に安全ではないという米国の国立標準技術研究所からの2015年のアドバイスがあります。
(The Register記事より引用)※機械翻訳
キタきつねの所感
物理的なOTPトークンは金融サービス等で多く利用されていますが、中間者攻撃に弱い特性がある他に、郵送や更新(電池切れ)コストがかかる事がサービス提供側の課題となってますし、ユーザ側から見ても金融機関毎にOTPトークンを複数持つのが負荷となっていると指摘されてきていました。
そんな中、生体認証等の別な認証手段も普及し始めたのが、今回のシンガポール政府の物理トークンの廃止という決断の背景にあったものと思われます。
NISTが非推奨としたSMSを使ったOTPについては引き続き利用可能な様ですが、今回の変更措置によって、アプリ(生体認証)優先になる様です。
この辺りは脆弱点を理解しながら、生体認証アプリへの移行や不正リスク(中間者攻撃件数)を考慮しながら、次PhaseでSMS-OTPを廃止する事を検討するのかと思います。
SingPass Mobile
youtu.be
余談となりますが、日本でもアベノマスク配布や、世帯への30万円の現金給付などの新型コロナウィルスを受けての救済策の検討が進められていますが、シンガポール等に比べて施策検討のスピードが遅い気がします。
普及が進んでいないマイナンバーカードを強力に推し進める事も、政治決断の要素にあるべきだったと思いますし、e-TAXで「ひたすらマイナンバーカードを当てて、パスワードを入力する」認証・・・といった実用面でのマイナンバーカード認証の欠点を改善するチャンスでもあった気がします。
※楽天(三木谷さん)が掲げる、「成功へのコンセプト」の中に、以下の1つがありますが、この言葉を政治家の皆さんに贈りたいと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴