OneSpan Blog

銀行はどのようにして中間者攻撃に対抗できるか

不正リスク分析
David Vergara, 2020年8月26日
How Banks Can Combat Man in the Middle Attacks

デジタルバンキングはここ数年で人気が急上昇しており、減速の兆しは見られません。2020年の英国の金融状況を調べたレポートによると、英国の銀行の顧客の7.7%のみが支店内訪問を好み、大半がオンラインまたはモバイルチャネルの使用を好みます。その結果、英国中の銀行支店は閉鎖され、どっち?英国の銀行支店ネットワークは過去5年間で3分の1に縮小したと推定しています。今年だけで、英国では247の支店閉鎖が予定されています。

このデジタルへの傾向は、Monzo、Revolut、Starlingなどの顧客中心のデジタルのみの挑戦者銀行によって推進されており、両者の間には2000万人近くの顧客がいると主張しています。最近数か月間、グローバルなコロナウイルスのパンデミックにより、多くの消費者は、デジタルバンキングプラットフォームを以前は使用していなかった場合、銀行の支店への容易なアクセスが妨げられたため、デジタルバンキングプラットフォームを採用せざるを得なくなりました。

デジタルバンキングは全体的な顧客体験を向上させましたが、次のような脅威により、サイバー犯罪者の攻撃対象も拡大しました。ブラウザの中間者攻撃または中間者攻撃より一般的になり、顧客に深刻な結果をもたらします。幸い、デジタルバンキングのユーザーエクスペリエンスを損なうことなく、こうした脅威から身を守るために銀行が実装できるさまざまなテクノロジーがあります。

中間者攻撃

これらの攻撃は、サイバー犯罪者が顧客のデバイスとバンキングサーバー間の通信を傍受できる場合に発生します。その後、犯罪者は、顧客に気付かれることなく、金額や目的の銀行口座などの取引の詳細を変更できます。その結果、標準の100ポンドの取引は、10,000ポンドの取引になり、犯罪者の銀行口座に直接送金されます。

犯罪者が通信を傍受する方法はいくつかありますが、1つの一般的な例は、顧客がパブリックWiFiホットスポットを使用している場合です。これらはしばしば安全ではなく、サイバー犯罪者が侵入するのは簡単です。したがって、顧客が公衆WiFiネットワークを使用してトランザクションを行う場合、サイバー犯罪者によって制御されているネットワークを介して機密の金融トランザクションデータを無意識のうちに共有している可能性があります。

規制による中間者攻撃との戦い

ヨーロッパでは、改訂された決済サービス指令(PSD2) は銀行や金融機関にオンラインおよびモバイルバンキングのサービスを進化させ、中間者攻撃に対抗するために設計されたさまざまなセキュリティ要件を導入しています。

たとえば、PSD2は、動的リンクに加えて強力な顧客認証(SCA)の要件を設定しています。これは、トランザクションデータ署名とも呼ばれます。動的リンク要件は、3つの部分でトランザクションを保護します。

まず、支払人が金額や受取人などの入力した取引データを認証し、それが正しいことを確認する必要があります。次に、トランザクションデータにリンクする認証コードが生成されるため、トランザクションの詳細を変更するとコードが無効になります。

第2に、取引プロセスの全体で取引データの機密性と整合性が保護されている必要があるため、悪者が傍受したり、詳細を変更したりすることができません。これにより、認証コードが確実なトランザクションの詳細に基づいて生成されるようになります。

最後に、カスタマーは認証を求められている取引データを認識している必要があります。つまり、承認時にトランザクションデータを顧客に提示する必要があります。

テクノロジーを介した中間者攻撃との戦い

Crontoテクノロジーは、銀行がトランザクションを検証し、中間者攻撃から顧客を保護する1つの方法です。クロントモバイルアプリから利用でき、顧客と銀行間の通信チャネルを保護して、トランザクションデータが変更されるのを防ぎます。データはプレーンテキストで表示されるため、ユーザーはトランザクションの詳細に基づいて認証コードを生成する前に、意図したトランザクションに対応していることを確認できます。

銀行だけがこのコードを生成でき、ユーザーのモバイルデバイスでのみ解読できます。このトランザクション検証への独自のアプローチにより、トランザクションの認証に必要なユーザー操作が減少するため、エクスペリエンスが簡素化されます。顧客は画面に電話を向けて画像(基本的にはカラーQRのような画像)をスキャンし、ブラウザに応答コードを入力するだけです。。これにより、暗号化された取引詳細のすべてが、ハッカーによる傍受や改ざんのリスクなく、銀行とカスタマー間で伝達されます。

その結果、銀行は、顧客を保護し、コンプライアンスを確保し、最終的にユーザーエクスペリエンスを向上させる、迅速でユーザーフレンドリーなセキュリティソリューションを提供できます。

Raiffeisen Transforming the Customer Experience through Security
Case Study

Raiffeisen Transforming the Customer Experience through Security

Raiffeisen Italy Implements Mobile Authentication & Mobile App Shielding for PSD2 Compliance and Ease of Use.

Read more

この記事は、製品マーケティングのシニアディレクターであるDavid Vergaraによって2020年8月20日に初めて掲載されました。 FinanceDerivative.com 。 

詐欺不正 PSD2(欧州決済サービス指令第2版) デジタルバンキング Cronto(クロント)
David Vergara
David Vergara

David VergaraはOneSpanのセキュリティ製品マーケティング担当ディレクターであり、ソフトウェアセキュリティ分野で10年以上の経験があります。OneSpanの前は、Accertifyのマーケティング担当副社長を務め、オンライン詐欺検出ソリューションの市場開拓戦略をリードしていました。

このページの一番上へ