帯域外認証とは何ですか?
帯域外認証は、二要素認証(2FA)の一種で、別の通信チャネルを介した二次認証方法を必要とします。これは、顧客のインターネット接続と携帯電話が動作する無線ネットワークという2つの異なるチャネルを含みます。顧客のインターネットとモバイル・ワイヤレス・ネットワークという2つのチャネルが、顧客がログインやトランザクションを行おうとしている間に攻撃者によって同時に侵害される可能性は、シングルバンドシステムでログインを試みた場合と比較して大幅に減少します。
アウトオブバンド(OOB)認証は、不正アクセスを防止するために高いセキュリティ要件が求められる金融機関やその他の組織で使用されています。OOBは、攻撃者がアクセスするために同時に侵害される必要がある2つの独立した、接続されていない認証チャネルにより、アカウントのハッキングをより困難にするため、サイバーセキュリティの向上に役立ちます。
帯域外認証の仕組み
帯域外認証(OOBA)システムでは、顧客を認証するために使用されるチャネルは、顧客がログインまたはトランザクションを実行するために使用するチャネルとは完全に分離されています。帯域外認証は、多要素認証(MFA)ではなく、二要素認証(パスワードのような知っているものと、モバイルデバイスのような持っているもの)の一種です。例えば、デスクトップでオンライン・バンキング取引を行おうとする顧客は、SMSテキスト・メッセージやモバイル・デバイスのプッシュ通知を介してワンタイムパスワード(OTP)を送信します。別々のチャネルを使用することで、データ漏洩による中間者攻撃やその他の攻撃の可能性が減少します。
モバイル・デバイスに送信される帯域外認証とは何ですか?
帯域外パスコードは、様々な方法でモバイルデバイスに配信することができます:
帯域外認証の例1:プッシュ通知
プッシュ通知は、顧客のモバイルデバイスのロック画面に表示される通知を通じて、認証コードまたはOTPワンタイムパスコードを配信します。
帯域外認証の例2:クロンコード
Cronto®またはQRのようなコードは、金融取引を認証または承認することができます。顧客は、ウェブブラウザを通して表示されるQRコードに似たグラフィカルな暗号を見ることができます。Crontoコードを読み取ることができるのは、顧客の登録したデバイスのみであり、非常に安全です。取引を行う際には、ブラウザのオンライン・バンキング・アプリケーションに支払いデータを入力します。するとQRのようなコードが表示されるので、携帯電話のカメラを使ってスキャンします。デバイスがQRコードを解読し、決済データを復号化し、プレーンテキストで携帯電話に表示します。これにより、データ保護とデータ・セキュリティが実現します。また、このアプローチは、欧州連合の改正支払サービス指令(PSD2)規制技術基準で概説されているダイナミック・リンク要件を満たしています。
帯域外認証の例 3:音声認証
音声認証では、顧客に電話をかけ、承認または拒否すべきログイン要求があることを伝えます。通常、顧客は指示に従ってボタンやキーを押すことで、リクエストを承認したり、電話を切って拒否したりすることができます。
帯域外認証の例 4:ノートパソコン上のバイオメトリクス・リーダー
ノートパソコン上のバイオメトリック・リーダーは、主要な通信チャネルの動作環境からアクセ スできない別の通信チャネルを実装していれば、帯域外認証を実行する方法と考えることが できます。
帯域外認証が詐欺やサイバー攻撃を防止する方法
銀行のリスク・エンジンによって高リスクのトランザクションにフラグが立てられると、アルゴリズムに基づく不正の傾向を反映したスコアが提供されます。リスク・スコアが高くなると、より高度な認証ステップや、アウト・オブ・バンド認証のような追加セキュリティ要件がトリガーされ、顧客にトランザクションの再確認を求めることができます(通常、多額の金銭が必要となります)。リスク・エンジンと関連するスコアは、認証ワークフローを変更するトリガーとなり、顧客の 信頼できるモバイル・デバイスに OTP を送信して追加検証を行うことができます。
OOB では、所有要素は、ユーザが認証コードを受け取る携帯電話です。知識または首尾一貫性の要素は、入力されます:
- 2デバイス認証(デスクトップとモバイル)用のバンキング・デバイス
- または、2 つのアプリ認証のためのモバイル・デバイス(同じモバイル・ デバイス上で実行される 2 つの異なるアプリ)
- または、顧客が1つのデバイスと1つのアプリを使用してトランザクションの開始と認証を行う1つのモバイルアプリ認証。
帯域外認証で中間者攻撃を阻止
OOBは、金融機関がマルウェア攻撃を減らすのにも役立ちます。例えば、OOBは中間者攻撃(Man-in-the-Middle Attack)の防止にも役立ちます。中間者攻撃とは、詐欺師が金融機関とユーザーの間に身を置き、気付かれることなく通信の傍受、編集、送受信を行う攻撃です。例えば、悪意のあるWi-Fiネットワークを公共のホットスポットとして設定することで、ユーザーのデバイスと銀行のサーバー間の通信チャネルを乗っ取ることができます。
たとえ顧客が携帯電話ネットワークを利用していたとしても、詐欺師がアクセスできるのは一方のチャネルだけなので、このような攻撃は防げるでしょう。前述したように、帯域外認証は、ハッカーや詐欺師にとって攻撃をより困難なものにします。アウトオブバンド認証は、金融機関が詐欺と戦うための重要なツールです。
規制コンプライアンス
帯域外認証は、欧州連合(EU)の第2次決済サービス指令(PSD2)の要件を満たすのに役立ちます。特に第97条では、決済サービス・プロバイダーが以下の場合にユーザーを認証することを義務付けています:
- オンライン決済口座へのアクセス
- 電子決済取引の開始
- 決済詐欺のリスクを伴う可能性のあるリモートチャネルを介したアクションの実行
- また、データ保護とプライバシーに関する GDPR コンプライアンスにも適合しています。
帯域外認証は、米国国立標準技術研究所(NIST)の要件を満たしています。2016年、NISTは多要素認証環境における帯域外要素としての脆弱性を理由に、SMS二要素認証の「非推奨化」を提案しました。非推奨という言葉やSMS二要素認証が許可されているかどうかについての混乱のため、NISTは2017年にガイドラインを変更し、SMSは「制限された」カテゴリーに該当し、顧客や組織はSMS 2FAを使用するリスクを負うことになると判断しました。しかし、プッシュ型 OTP(Google Authenticator などのアプリを介してモバイル端末にコードを送信)のような帯域外の認証アプローチは、暗号署名され、SMS チャネルを介して配信されないため、SMS メッセージの脆弱性を回避できます。
帯域外認証に関するアナリストの見解
アライドマーケットリサーチによると、「オンライン取引量の増加、高度で複雑な脅威の継続的な増加は、帯域外認証市場の成長を促進する主な要因の一部です。しかし、SMSを利用したOOB認証に含まれるリスクや製品コストの高さが市場の成長を抑制しています。逆に、中小企業による採用の増加は、この市場に多くの機会を生み出すと期待されています。"世界の帯域外認証市場は2016年に2億7400万ドルと評価され、2023年には11億ドルに達し、2017年から2023年までのCAGR率は22.8%で成長すると予測されています。
リサーチ&マーケッツ社は、「OOB認証ソフトウェアは安全な通信チャネルで動作するため、OOBは不正を防止するために使用される強力なツールです。リスクの高い取引では、企業はこの技術を使ってユーザーの身元を確認し、認証します。この技術は、金融取引と非金融取引の両方の認証に使用されています。アナリストは、2016年~2020年のOOB認証ソフトウェアの世界市場が、2016年~2020年の期間に23.57%のCAGRで成長すると予測しています。