EBAによると、SMSOTPはPSD2ダイナミックリンク要件を満たしていません

Frederik Mennes, 2021年3月11日

銀行や決済サービスプロバイダーは、オンライン決済アカウントへのログインや支払いの確認を希望する人を認証するためにSMSに依存する場合があります。 彼らはSMSメッセージを送信しますワンタイムパスワード(OTP)ユーザーの携帯電話に送信し、ユーザーはこのOTPを銀行または決済サービスプロバイダーの決済アプリケーションに入力します。 支払いの場合、SMSには通常、支払いの金額や受取人などの支払い情報も含まれます。

OTPに加えて、銀行および決済サービスプロバイダーは、ユーザーが2要素認証システムを使用して認証されるように、ユーザーが支払いアプリケーションに静的パスワードを入力することを要求する場合があります。 SMS OTPは所有要素(「ユーザーだけが持っているもの」)を表し、静的パスワードは知識要素(「ユーザーだけが知っているもの」)を表します。

強力な顧客認証(SCA)および共通の安全な通信(CSC)に関する改訂された決済サービス指令(PSD2)および規制技術基準(RTS)の導入以来、以下に基づく認証システムのコンプライアンスについて多くの議論がありました。 SCA要件を備えたSMS。 特に、SMSOTPが支払いの認証方法を規定するPSD2の動的リンク要件を満たすことができるかどうかという疑問が生じました。 これらの要件は、基本的に次のように述べています。

  • 認証コードは、特定の支払い情報(少なくとも支払いの金額と受取人)に基づいて計算する必要があります。そして
  • 支払い情報の機密性、完全性、および信頼性は、認証プロセス全体を通じて保護する必要があります。

SMS OTPが、一方ではアカウントログインの要件に準拠し、もう一方ではダイナミックリンクの要件に準拠しているかどうかをさらに見てみましょう。

ケース1:アカウントログイン用のSMS OTP

さらに調査する最初の質問は、SMSOTPが支払いアカウントへのログインに関するSCA要件に準拠しているかどうかです。 この質問は、実際にはすでに欧州銀行監督局(EBA)によって意見2019年6月21日に公開され、 EBAの単一ルールブックQ&Aツール

意見は、SMSが有効な所有要素であると見なすことができることを明確にしています。 より具体的には、SMSを受信するモバイルデバイスのSIMカードは有効な所有要素です。 これは、SMSを介して配信されるワンタイムパスワード(OTP)を使用して、2番目の要素(パスワードやPINなど)と組み合わせたときに強力な認証メカニズムを構築できることを意味します。 言い換えれば、SMS OTPは、私たちが提唱したように、PSD2のSCA要件に準拠しています。過去には

ただし、SMSには多数のセキュリティの脆弱性が存在するため、これはアカウントのログインにSMSOTPを使用することをお勧めするわけではありません。 より具体的には、SMSメッセージは、基盤となるSS7プロトコルの脆弱性を悪用したり、モバイルデバイスに存在するマルウェアによって傍受/変更されたりする可能性があります。さらに、SIMスワップ攻撃により、犯罪者は被害者の携帯電話番号を乗っ取ることができるため、犯罪者は被害者向けのSMSメッセージを受信します。 これらの脆弱性を悪用するオンラインバンキングシステムの認証メカニズムに対する攻撃はよく知られており、長年にわたって存在しています。

ケース2:ダイナミックリンク用のSMS OTP

ただし、意見では、動的リンクのコンテキストでSMS OTPについて説明しておらず、SMSOTPが動的リンクの要件を満たしているかどうかを明確にしていません。 以来ダイナミックリンクの要件支払い情報の機密性、完全性、信頼性を保護する必要があることを規定しており、SMSメッセージのコンテンツは保護されていないため、次のことが予想されます。 SMSがダイナミックリンクの要件を満たしていません。 しかし、これまでのところ、このトピックについてEBAから明確な意見はありませんでした。

状況を明確にするために、2018年12月に私は彼らの公式を介してEBAに尋ねました単一のルールブックQ&AツールSMSOTPがダイナミックリンクの要件を満たしているかどうか。 先週、2年以上後、EBAは回答。 回答の最後の2つの段落が最も関連性があります。

SMSがOTPの送信に使用されているが、認証コードや、受取人や取引金額などの支払い情報が含まれていない場合、発行者は、第5条(2)に基づいて要求されません。 SMSを介して送信される情報の機密性、信頼性、および整合性を確保するための委任された規制。
SMSに認証コードや、受取人や取引金額などの支払い情報が含まれている場合でも、発行者はSMS OTPを使用して、EBA意見の第25項で明確にされている所有要素を証明できます。委任規則の第5条(2)に従い、PSD2(EBA-Op-2019-06)およびQ&A 2018_4039に基づく強力な顧客認証の要素について、発行者は、機密性、信頼性、およびSMSを介して送信される認証コードおよび/または支払い情報の整合性。

これらの段落は、おそらく次のように解釈できます。

  • SMSに支払い情報または認証コードが含まれていない場合、SMSを保護する必要はありません。 SMSには機密データがないため、これは論理的です。 不思議なことに、この段落では「OTP」と「認証コード」を区別しています。これは、OTPが通常は認証コードであるため注目に値します。
  • 支払い情報がSMSに存在する場合、SMS自体は十分なセキュリティを提供しないため、SMS内の情報を保護する必要があります。 これは事実上、支払い情報と認証コードを含むSMSを送信するだけでは、動的リンクの要件を満たすのに十分ではないことを意味します。 SMSのコンテンツを暗号化することは可能ですが、携帯電話でコンテンツを復号化する方法について疑問が生じます。これは簡単なことではなく、おそらくモバイルアプリが必要です。最初の場所。

まとめ

SMSOTPのPSD2のSCA要件への準拠を次のように要約できます。

  • ログイン用のSMSOTPはPSD2に準拠しています
  • SMSのコンテンツが保護されていない限り、ダイナミックリンク用のSMS OTPはPSD2に準拠していません(ただし、これは簡単ではありません)

OneSpanは、銀行やその他の金融機関と幅広く協力して、SCAおよびダイナミックリンクのPSD2要件を満たすのを支援してきました。 金融サービスでは、PSD2に関する深い専門知識を備えたセキュリティパートナーと、顧客体験の簡素化に重点を置くことが重要であることを理解しています。 これらの銀行がどのようにダイナミックリンクを実装し、認証ユーザーフローが準拠した便利な方法であるかをご覧ください。

Odeabank |モバイルアプリユーザーの認証エクスペリエンスの向上

Odeabank |モバイルアプリユーザーの認証エクスペリエンスの向上

モバイルバンキングアプリケーションを保護するために、OdeabankはOneSpan Mobile Security Suiteを、アプリケーションを保護するために必要なすべてのビルディングブロックと統合しました。

今すぐダウンロード

Frederikは、OneSpanのセキュリティコンピテンスセンターを率い、OneSpanの製品とインフラストラクチャのセキュリティ面を担当しています。 彼は、クラウドおよびモバイルアプリケーションの認証、ID管理、規制、およびセキュリティテクノロジーに関する深い知識を持っています。