高度なアプリセキュリティでモバイルバンキングを保護する方法

Ralitsa Miteva, 2021年5月20日

How to Protect Mobile Banking with Advanced App Security

デジタルトランスフォーメーション、不正防止、モバイルセキュリティのベストプラクティスなどのトピックに関するWebキャストを定期的に開催しています。最近のWebキャストを見逃した場合は、高度なアプリセキュリティでモバイルバンキングを保護する方法、これが10分間の要約です。プレゼンテーション完全版は、オンデマンドでご覧いただけます。

COVID-19のパンデミックの結果として、モバイルバンキングの使用は急増し続けています。この傾向に沿って、モバイルバンキング詐欺の事例も昨年から増加しています。 2020年には、侵害されたIDレコードの数が大幅に増加し、高度なモバイル詐欺攻撃が増加し、サービスとしての犯罪が増加しました。

金融詐欺の記録的な年でしたが、世界中の46億人のアクティブなインターネットユーザーのうち、91％がモバイルインターネットユーザーであることも注目に値します。¹ 。新興市場から先進国まで、モバイルはオンラインバンキングと比較しても、最も人気のある銀行チャネルの1つです。 Forresterによると、「北米とヨーロッパでは、オンラインの成人の約半数が、スマートフォンを使用して少なくとも毎週銀行業務を行っていると報告しています。また、オーストラリア、中国、インドのオンラインアダルトにとって、モバイルアプリは彼らが好む銀行チャネルです。」²

明らかに、モバイルは金融機関が保護するための重要なエンドポイントです。最新のウェビナーでは、高度なアプリセキュリティでモバイルバンキングを保護する方法、同僚のGreg Hancellと私は、進行性のモバイル脅威の影響と、高度なセキュリティが携帯電話ユーザーをどのように保護するかについて話し合いました。ここにハイライトがあります。

一般的なモバイルバンキングの脅威

金融サービスプロバイダーとその顧客は、過去1年間、デジタル犯罪の着実な増加とIDレコードの侵害の犠牲になっています。世界的に、約370億件の記録が侵害されました⁴ 、世界のオンライン人口の約10％を占めています。これは金融犯罪に直接的な影響を及ぼし、アカウントの乗っ取りから合成ID詐欺まで、驚異的な量の詐欺を実行するための原材料を犯罪者に提供します。による報告によるとAite Group、米国の個人情報の盗難：The Stark Reality 、パンデミックが始まって以来、個人情報の盗難は42％増加しています。顧客の仮想オンボーディングは、犯罪者が偽のまたは盗まれた身分証明書を使用してリモートで新しい銀行口座を開くアプリケーション詐欺の急増につながりました。

これをさらに複雑にするのは、2020年12月の発見です。邪悪なエミュレータファームモバイル詐欺師がプロセスを自動化し、モバイルデバイス識別子を簡単に収集し、GPSの場所をスプーフィングし、SMSメッセージを傍受して静的認証をバイパスできることを実証しました。サイバー犯罪者は、予想外のレベルの規模と操作速度を達成し、無防備なユーザーとモバイルデバイスをエミュレートして、記録的な速さでオンライン銀行口座から数百万ドルを流出させることに成功しました。

個人情報の盗難とアカウントの乗っ取りの要素を組み合わせたSIMスワップも、復活を遂げています。モバイル決済の人気が高まるにつれ、モバイルバンキングの使用により、SIMスワップ攻撃が増える可能性があります。 SIMスワップ攻撃では、加害者は被害者の盗まれた個人情報を使用して、携帯電話会社に新しいSIMカードで被害者の番号をアクティブ化させます。犯罪者は、SMSまたは音声ワンタイムパスワード（OTP）からの情報を使用して、銀行口座にアクセスし、資金を盗みます。 SIMハイジャック詐欺の被害者の多くは、オンラインアカウントが自分の電話番号を乗っ取っているのを見てきました。 FacebookやLinkedinなどのソーシャルメディアアカウントは、生年月日などの機密情報へのアクセスを提供し、サイバー犯罪者がSIMスワップ攻撃にフィードするために使用できるため、その一例です（ソーシャルアカウントのデータを使用して、従来の銀行を促進することもできます）アカウントの乗っ取りと個人情報の盗難）。最近のフェイスブックそしてLinkedinデータ漏えいはタイムリーな例です。

最も古い、そしてまだ最も成功している戦術の1つは、フィッシングです。非常に長い年月を経て、これらの詐欺に誰も陥ることはないだろうという認識があります。しかし、電話から巧妙に作成された電子メールまで、攻撃者は被害者をだまして資格情報を渡させます。 2020年も例外ではありませんでした。実際、Covid-19は、このトピックへの注目が高まっていることを利用して、2019年と比較して2020年にフィッシングとスミッシングの機会をさらに増やしました。

モバイルデバイスの使用が増加しているため、スミッシング攻撃も横行しています。これらの攻撃は通常、銀行からのSMS認証要求、または被害者のアカウントで疑わしいアクティビティが発生したというアラートに似ています。問題は、疑いを持たないユーザーには正当に見えるかもしれませんが、スマートフォンから情報を盗むように設計されたマルウェアをダウンロードするリンクが含まれていることです。

モバイル詐欺の検出と防止の戦略

このような背景の中で、金融機関は顧客を守るために何ができるでしょうか。

まず、静的な資格情報（ユーザー名/パスワード）を認証に使用しないでください。デバイス登録用でもありません。認証トークンのプロビジョニングまたはアクティブ化。ログインする;取引承認;受益者/受取人の作成;または認証を必要とするその他のプロセス。認証フレームワークを最新化することにより、金融機関は攻撃の一歩先を行くことができます。
次に、モバイルアプリのシールドを使用して、モバイルアプリのソースコード自体のセキュリティを保護します。これには、アプリ内から機能するアプリ保護が必要です。このテクノロジーはアプリシールドと呼ばれます。攻撃者は通常、クライアント側と銀行のバックエンド（サーバー側とも呼ばれます）の2つの側で攻撃の機会を調べます。銀行はバックエンドをより詳細に制御でき、インフラストラクチャがセキュリティ基準を満たしていることをより効果的に確認できます。ただし、モバイルバンキングアプリは、銀行の管理外の環境である顧客のデバイスに常駐します。そして、プラットフォームを保護するための努力にもかかわらず、ユーザーは弱いリンクになります。結局のところ、一部のユーザーは次のような危険な活動に従事します。

a。無料アプリをダウンロードするためにデバイスを脱獄またはルート化する（常に公式アプリストアからダウンロードするとは限りません）
b。信頼性に関係なく、公共のWi-Fiホットスポットまたはネットワークに接続する
c。オペレーティングシステムへの重要なセキュリティ更新の延期
第三に、多層サイバーセキュリティ戦略を実装します。防御を強化するセキュリティの追加レイヤーがあります。これには、安全なプロビジョニング、安全なチャネル通信、クライアント側とサーバー側のリスク分析、および継続的なセッション監視リスク評価と機械学習を使用します。
第4に、金融機関は、サイバー攻撃の増加に対抗するために、豊富なモバイルデータを利用できます。ユーザーの行動や電話に関するデータ（たとえば、ジェイルブレイクされているかどうか、マルウェアやその他のセキュリティリスクの指標が含まれているかどうか、OSのバージョン、ジオロケーションなど）からの洞察を使用して、予測と検出を行うことができます。リアルタイムの金融詐欺。

モバイルバンキングのセキュリティにとってデータが重要である理由

詐欺の傾向は、ログイン時にユーザー名とパスワードに依存するだけでは、詐欺行為を防ぐのにもはや十分ではないことを明らかにしています。ただし、誰かがアカウントにアクセスしたり、アカウントにアクセスしようとしたりすると、これが正当な顧客であるかどうか、および要求されたトランザクションが正当であるかどうかを判断するために使用できるデータがたくさんあります。次のような不正詐欺が含まれます。

ユーザーデータ：ログインに使用される認証方法のタイプ。行動プロファイル;等
デバイスデータ：彼らが使用している携帯電話の種類。デバイスが銀行に登録されているかどうか。脱獄/ルートステータス;等
アプリデータ：アプリのバージョン;言語;等
デバイスヘルスデータ：スクリーンショットの検出;コードインジェクションアラート;オーバーレイアラート;等

金融サービスプロバイダーはデータを持っていますが、データを収集および分析していない可能性があります。実際、モバイルは膨大な量のデータへのゲートウェイですが、ウェビナーの参加者の60％は、ユーザーの行動やデバイスについて十分な洞察を持っていないと述べています。これらの質問に答えるには、銀行、信用組合、およびその他の金融機関がリスクベースの不正防止ソリューションユーザーの旅の行動と属性を理解し、不正の指標を特定するためにビッグデータを分析する。

ユーザー行動調査

不正分析者やデータサイエンティストがそのような量のデータを手動で処理することは不可能です。人間とは異なり、機械学習には、大量のデータを理解し、大規模かつコンテキスト内で分析し、リアルタイムでリスクスコアを割り当てる強力な機能があります。

このテクノロジーにより、リスクベースの不正防止システムは、ステップアップ認証を通じて、適切なタイミングで正確なレベルのセキュリティを適用できます。機械学習は、規模と複雑さが増している詐欺攻撃と効果的に戦う唯一の方法です。

利用可能なすべてのデータを取り込んで分析するには、機械学習に基づく不正防止システムが必要です。多要素認証（MFA）は、機械学習ベースの不正防止に加えて、詐欺師にとってサイバー犯罪の実行をはるかに困難にする可能性があります。これらの方法により、システムは詐欺の事例をキャッチし、多くの危害が加えられる前にリアルタイムでそれらを阻止することができます。金融機関がこれを正しく行うと、セキュリティとデジタルの信頼が高まるだけでなく、顧客体験の摩擦も軽減されます。

要約：モバイルバンキングをより安全にするためのセキュリティ対策

モバイルバンキングサービスの急速な進化は、銀行がデジタルの脅威に対処する方法をまだ学んでいることを意味します。要約すると、金融機関が顧客を保護し、不正を軽減するために実行できる重要な手順のいくつかを次に示します。

銀行のアプリが十分に保護されていることを確認します。アプリのシールドを適用して、モバイルバンキングアプリが動作する環境を制御できないため、モバイルバンキングアプリを保護します。
安全で便利な認証を顧客に提供します。 多要素認証（MFAまたは強力な顧客認証）。ログイン段階でユーザー名とパスワードに依存するだけでは、不正行為を防ぐのに十分ではなくなりました。

また、SMSOTPをより安全な代替手段に置き換えます。テキストメッセージによるワンタイム認証コードの配信は、エンドカスタマーと通信するためのシンプルで便利な手段と見なされていますが、セキュリティの専門家は、ユーザーアクション（ログイン、金融取引、プロファイル）を認証する方法としてのSMSの脆弱性について警告しています。変更、モバイルバンキングアプリの登録/再アクティブ化など）。実際、欧州銀行監督局（EBA）は最近、次のことを確認しました。 SMSOTPがPSD2SCA要件を満たしていませんダイナミックリンク用。 SMS OTPには、次のような複数の選択肢があります。

a。モバイルバンキングアプリから直接送信されるプッシュ通知
b。スタンドアロンのモバイル認証アプリによって生成されたワンタイムパスコード
c。バイオメトリクス
d。次のようなテクノロジーを使用した帯域外トランザクション署名OneSpanのCronto
顧客と銀行サーバーの間に安全なチャネルを確立します。 これにより、データが危険にさらされるのを防ぎ、信頼できるモバイルデバイスプロファイルをサーバー上に作成できるようになります。これにより、攻撃者の生活ははるかに困難になります。のような技術OneSpanのCronto助けられる。
リスク評価ソリューションを実装します。 デジタルバンキングチャネルから収集されたユーザーの行動とデータを分析することで、デバイスのリスクを軽減することができます。ユーザーの操作ごとにデバイスを継続的にスコアリングすることで、デバイスに割り当てられた信頼のレベルをリアルタイムで評価できます。信頼できるデバイスは、オムニチャネルバンキングの安全な認証方法としても使用できます。
ユーザーエクスペリエンスとセキュリティのバランスをとる。適応認証はそれを行うための最良の方法です。ただし、個々のトランザクションの認証レベルを調整するには、リスクベースの不正防止システムが必要です。基本的な概念は単純です。トランザクションまたはインタラクションのリスクレベルに認証を適合させることにより、金融機関は顧客体験を保護し、容易にすることができます。