銀行がモバイルバンキングのアプリと取引を保護するための5つの方法

モバイルバンキングへの攻撃は過去最高規模にあり、攻撃者による詐欺攻撃は年々巧妙になり、その量も増加しています。全世界で2億台以上のデバイスをモニタリングしている「グローバル脅威インテリジェンス・レポート 2021 」によると、デバイスを攻撃してSMSのワンタイムパスワードを盗もうとする新しいモバイルバンキング型トロイの木馬の数は2021年上半期に80%増加しました。2020年6月、FBIは、新型コロナウイルスの流行もあり、モバイルバンキングのアプリの利用急増と実店舗の減少で、モバイル顧客に対する攻撃件数が増加すると予想するサイバーセキュリティ警告を発表しました。モバイルでオンラインバンキングを利用する顧客が増え、攻撃者にとっての障壁が低くなっており、金融機関は、顧客と自社ブランドの両方を守るために高度なアプリセキュリティを導入することが急務となっています。

OneSpanデータ戦略・プロダクト管理担当ディレクターのGreg Hancellは、最近のインタビュー動画で、金融機関が顧客のデバイスや取引を保護するために利用できる方法や技術について語りました。本記事では、セキュリティ専門家による考察を交えながらOneSpanのGreg Hancellが推奨するトップ5をご紹介します。

1. 固定パスワードの廃止と強力な顧客認証への移行
2. 行動分析によるコンテキストベース認証の活用
3. エンドツーエンド暗号化を用いたセキュアチャネルの適用
4. 高度なアプリケーションセキュリティとマルウェア検知の適用
5. モバイルバンキングの保護による信頼性の向上

モバイルバンキングへの攻撃にはどんな種類がある？

モバイルバンキングへの攻撃には、以下のようなものが考えられますが、これらに限定されません。

•  エミュレーター攻撃 -  詐欺師は危険にさらされたユーザーのデバイス（マルウェアが仕込まれている）を利用してデータやパスワードを盗み、そのデータをエミュレーターに渡す。正規のユーザーをシミュレートしアプリの典型的なインタラクションフローを自動化することで、攻撃者はSMS認証コードを傍受し、不正な銀行取引で取引承認を得ることができる。
•  SIMスワップ -  アカウント乗っ取り攻撃の一種。詐欺師がソーシャルエンジニアリングを用いて被害者の携帯電話番号を新しいSIMカードに転送し、SMS認証による二要素認証（2FA）で不正な取引が可能となる。モバイルバンキングアプリに認証ソフトウェアを統合すると、金融機関はSIMスワップ詐欺のリスクを軽減することができる。
• モバイルフィッシング  -  攻撃者は、悪意のあるペイロードを仕込んだリンクをテキストメッセージまたは電子メールで送信。被害者はリンクをクリックし、騙されて本物と思わされたWebページに個人情報を入力、または、知らないうちにデバイスにスパイウェアがダウンロードされる。
• モバイルバンキング型トロイの木馬  -  AndroidやAppleのアプリストアまたは直接サイトからダウンロードしたファイルやサードパーティ製のアプリで、一見、正規のものに思えるが、ダウンロードした携帯電話のモバイルバンキングアプリを標的とするマルウェアが隠されている。ユーザーが送信した銀行情報やその他の機微情報を取り込み、個人情報の盗難・ログイン情報の取得・銀行口座への侵入・資金決済の傍受を実行する。

モバイルバンキングへの攻撃や疑わしいアクティビティから、デバイスや取引を多層的なセキュリティ対策で保護する方法

1. 固定パスワードの廃止と強力な顧客認証への移行

OneSpanのGreg Hancellは、脆弱性を解消するための最初のアドバイスとして、ユーザー認証（ログイン時や取引時に顧客が行う認証の手順）について次のように述べています。

「固定パスワードを利用している場合は二要素認証に、SMSによる二要素認証を利用している場合は強力な顧客認証に、強力な顧客認証を利用している場合は動的リンクとコンテキストベース認証に移行することが重要です」

金融機関が到達すべきデジタルバンキングの最高水準のセキュリティは、動的リンクやコンテキストベース認証を用いた強力な顧客認証であるとアドバイスしています。

強力な顧客認証では、多要素認証（MFA）を使用して、ログイン時や取引承認時に顧客の本人確認を行います。多要素認証では、強力なパスワードだけでなく、次のような3つの要素を使用します。PIN番号などの「ユーザーが知っていること」、モバイルデバイスやハードウェアトークンなどの「ユーザーが持っているもの」、指紋認証や顔認証など生体認証の「ユーザー自身の特徴」です。

2. 行動分析によるコンテキストベース認証の活用

コンテキストベース認証は、適応型認証とも呼ばれ、ログイン、送金作成、取引などのイベントを取り巻くコンテキストや行動を考慮に入れた認証方法です。適応型認証と行動分析は、ユーザーの行動、携帯電話、取引に関連する膨大なデータをリアルタイムで確認し、リスクスコアを算出します。このスコアが自動化されたセキュリティワークフローのトリガーとなり、必要なセキュリティが正確に適用されます。OneSpanのGreg Hancellは次のようにアドバイスしています。

「銀行も行動分析を適用したいと考えています。ユーザーが普段何をし、いつ接続し、どのような種類のデバイスを持っているかを把握すること、また、ユーザーのデバイスでのインタラクションを金融的な観点からも確実に把握する必要があります」

ユーザーの典型的な行動を把握することで、銀行、金融機関、金融サービス組織は、ユーザーの行動が通常から逸脱した場合に、追加の認証チャレンジを適用することができます。2021年公開の記事「高度な認証： 認証スタックへのアプローチ」で、OneSpanのセキュリティ専門家Sam Bakkenが、この仕組みを詳しく説明しています。

「高度な不正防止システムを中核とするオーケストレーション・ハブでは、人工知能や機械学習を用いて、ユーザーの行動が正規の取引を行う実在の人物に求められるものと一致するかどうかを評価できます。トランザクションのリスク評価で問題があった場合、顧客のデジタルIDを新しい認証チャレンジや2番目の要素認証で確認し、アプリケーションへの安全なアクセスを確保します」

3. エンドツーエンド暗号化を用いたセキュアチャネルの適用

サーバーと顧客のiPhone、スマートフォン、モバイルデバイスとの間の通信に最高水準のモバイルアプリのセキュリティを実施するために、OneSpanのGreg Hancellは、金融機関がセキュアチャネルを使用したエンドツーエンド暗号化を導入すべきだとアドバイスしています。

「セキュアチャネルとは、ワンタイムパスワードや関連する詳細、およびその内容を、ユーザーのデバイスだけで復号化し見ることができることを意味します」

この追加的なセキュリティ対策は、サーバー側で独自に暗号化したデータをモバイルデバイスで復号化することで機能します。デバイスとの安全な送受信を実現し、ユーザーとサーバーとの信頼性の高い通信を可能にします。アプリケーションシールド機能と併用すると、マルウェアがSMSなどの平文で送信されたOTPを傍受することを防ぎ、ユーザーとそのデバイスに関するリスクベースの判断を下すサーバーに豊富なコンテキストが提供できます。

4. 高度なアプリケーションセキュリティとマルウェア検知の適用

OneSpanのGreg Hancellは、取引承認のセキュリティを向上させるだけでなく、銀行は高度なアプリケーションセキュリティを適用すべきだとアドバイスしています。

「モバイルバンキングでは、 アプリケーションハードニング、耐タンパー性技術、マルウェア検出など、高度なアプリケーションセキュリティを活用することが重要です」

アプリケーションシールドやアプリケーションハードニングは、アプリケーション内保護の一種で、コード難読化、デバッガー検出、オーバーレイ検出などの技術を用いて、リバースエンジニアリングや改ざんなどの攻撃からアプリケーションを保護します。また、悪意のある行為者が攻撃に必要な労力のレベルを上げるような対策も含まれています。　

日本のインターネット銀行であるソニー銀行は、同社のモバイルバンキングアプリを保護するためにアプリケーションシールドを導入しました。コード難読化やリパッケージ回避の技術でリバースエンジニアリングを防止することで、アプリケーションシールドはソニー銀行のモバイルアプリを保護しています。また、アプリケーションシールドは、悪意のあるキーロギング、スクリーンリーダー、デバッガー、エミュレーター、オーバーレイ攻撃などの脅威を積極的に検出します。

5. モバイルバンキングの保護による信頼性の向上

2021年公開の記事「セキュアなモバイルアプリ開発： アプリケーションシールドのビジネスケースを構築する」で、アプリケーションシールドの価値は、顧客サイドにおけるモバイルの脅威や悪意のあるコードを軽減することだけとどまらないと主張しました。

「アプリケーションシールドは、信頼性を高め、顧客体験を向上させ、収益増加・収益維持・コスト削減・コスト回避にプラスの影響を与えることができます。ある調査によると、個人情報・口座情報・決済情報の保護に関して金融機関を信頼しているモバイルユーザーは、モバイルチャネルでの取引に積極的に参加し、より多くの取引を行っています。アプリケーションシールドは、包括的なモバイルアプリのセキュリティプログラムと併用することで、モバイルアプリのセキュリティリスクを大幅に低減し、銀行への信頼を高めます」

OneSpanのGreg Hancellもこの意見と同じで、モバイルチャネルに対する顧客の信頼と信用を高めるには、適切なセキュリティを適用して顧客の個人情報を保護することが不可欠であると述べています。

「適切なセキュリティを適用すれば、モバイルを介したデジタルチャネルの信頼と信用を高めることができます」

モバイルアプリとバンキングサービスを保護するアプリケーションシールドの始め方

モバイルバンキングアプリの開発は容易でなく、開発チームは大きなプレッシャーにさらされています。アプリケーションの構築・テスト・公開をできるだけ早く行うことは重要ですが、モバイルバンキングアプリの保護も不可欠です。

アプリケーションシールドは簡単に始めることができ、数分で適用できます。世界の大手銀行や金融機関の中には、OneSpanのアプリケーションシールドを活用し、リリースを遅らせることなく、厳格なモバイルアプリのセキュリティ要件を満たしているところもあります。デジタルオンリーバンクのNewB銀行は、アプリケーションシールドとクラウドベース認証を活用して、モバイルアプリのユーザーとその取引を保護しています。NewB銀行は統合のスピードについて、「開発を終えたばかりの当社のモバイルバンキングアプリを保護するために、OneSpanのアプリケーションシールド機能を設定する作業は、わずか数日で完了しました」と述べています。

Raiffeisen Italy銀行もモバイルアプリの保護にアプリケーションシールドを活用しています。イタリアで最初に同技術を市場に投入しました。現在では、顧客体験を妨げることなく、認証アプリへの攻撃をリアルタイムで検知し、ブロックすることができます。アプリケーションシールドは統合が簡単で、開発者に負担をかけませんでした。Raiffeisen Italy銀行のCIOのAlexander Kiesswetter氏は、同技術の導入を検討している金融機関に対し、「デジタルトランスフォーメーションの今後の方向性を戦略的に見据えることができる強力なパートナーを選ぶ」ようアドバイスしています。