シンガポールの銀行とパスキー：SMS OTPからの移行

**シンガポール金融管理局（MAS）は、国内のすべての大手リテール銀行が今後3か月以内にOTPを段階的に廃止し、「デジタル・トークン」に置き換える必要があると発表しました。この動きはシンガポール銀行協会（ABS）**との協力によるもので、2023年に1,400万ドル以上の被害をもたらしたフィッシングやその他の詐欺から消費者を保護することを目的としています。このブログ記事では、以下の点について考察します。

• OTPの廃止： なぜMASはOTPの廃止を優先するのでしょうか？
• デジタル・トークン： デジタル・トークンとは何か、なぜより安全なのでしょうか？
• パスキー： パスキーは新しい要件を満たすのに役立つでしょうか？

まずは、**シンガポール金融管理局（MAS）**の発表「シンガポールの銀行、フィッシング詐欺への耐性を強化」を詳しく見ていきましょう。

2024年7月9日、シンガポール金融管理局（MAS）とシンガポール銀行協会（ABS）は、ワンタイムパスコード（OTP）の使用を段階的に廃止することで、デジタルバンキングのセキュリティを強化するための重要な一歩を発表しました。この移行は今後3か月かけて段階的に実施される予定で、デジタルバンキングにおける主要な脅威となっているフィッシング詐欺から消費者をより良く保護することを目的としています。この発表では「ワンタイムパスワード」とOTPにしか言及されていませんが、特にSMS OTPを対象としています。

モバイルデバイスでデジタル・トークンを有効化した顧客は、ブラウザやモバイルバンキングアプリ経由で銀行口座にログインする際に、これらのトークンを使用することが求められるようになります。デジタル・トークンは、詐欺師が盗んだり、顧客を騙して開示させたりすることが可能なOTPを必要とせずに、顧客のログインを認証します。デジタル・トークンがどのようなものかについては、次の章で詳しく説明します。

技術の進歩と巧妙なフィッシング技術は、かつてSMS OTPが提供していたセキュリティを上回ってしまいました。現在、詐欺師は本物のサイトに酷似した偽の銀行ウェブサイトを作成し、顧客を誘い込んでOTPやその他の認証情報を入力させます。フィッシング耐性のある認証要素への移行はセキュリティを強化し、詐欺師が顧客の口座に不正アクセスすることを著しく困難にします。

フィッシング詐欺は、シンガポールにおいて依然として根強い懸念事項です。銀行は、MASおよびシンガポール警察と緊密に連携し、進化する詐欺の手口に対する集団的な抵抗力を強化するための対策を策定・導入し続けています。ABSのディレクターであるOng-Ang Ai Boon氏は、新しい措置は多少の不便をもたらすかもしれないが、詐欺を防ぎ顧客を保護するためには必要なステップであると強調しました。

MASのアシスタント・マネージング・ディレクター（ポリシー、決済＆金融犯罪担当）であるLoo Siew Yee氏は、MASがデジタルバンキング詐欺から消費者を保護するために銀行と緊密に協力していくことを強調しました。彼女は、この最新の措置が、顧客が引き続き実践すべき良好なサイバー衛生習慣（銀行の認証情報を保護するなど）を補完するものになると述べました。

MASとABSによるこの措置は、デジタル・トークンの使用を義務付けることで、デジタルバンキングのセキュリティを強化するという彼らのコミットメントを示しています。この発表に欠けているのは、認証という意味でのデジタル・トークンの要件が明確に示されていないことです。次のセクションで、その点を詳しく見ていきましょう。

デジタル・トークンはオンラインセキュリティの進歩を象徴するものであり、従来のSMSワンタイムパスコード（OTP）に代わる、より強力な代替手段を提供します。SMS（またはメール）経由で送信され、傍受されたりフィッシングされたりする可能性のあるSMS OTPとは異なり、デジタル・トークンは特定のデバイス（通常は携帯電話）に紐付けられており、そのデバイスの所有者のみが必要な認証コードを生成できることを保証します。

デジタル・トークンは異なる方法で動作します。

• 時間ベースのデジタル・トークン（セキュリティが低い）：これらのトークンは、ユーザーの身元を認証するために使用される、時間ベースの動的なコードです。これらは、銀行独自のアプリのようなユーザーのモバイルデバイス上のネイティブアプリによって生成されます。ほとんどの実装では、実際のコードは表示されず、取引詳細とともにユーザーに同意を求めるプッシュ通知が表示され、それが銀行のサーバーに送り返されるだけです。
• 暗号化デジタル・トークン（セキュリティが高い）：暗号化デジタル・トークンは、時間ベースのトークンと比較してさらに安全な認証方法です。これは、アプリ内または携帯電話のセキュア・エンクレーブ内に保存された公開鍵と秘密鍵のペアを利用します。認証プロセス中、銀行のサーバーはユーザーのデバイスにチャレンジを送信します。デバイスは秘密鍵を使用してこのチャレンジに署名し、署名されたレスポンスがサーバーに返送されます。サーバーは対応する公開鍵を使用して署名を検証します。この方法により、攻撃者が通信を傍受したとしても、デバイスに安全に保存されているユーザーの秘密鍵にアクセスできなければ、認証プロセスを複製することはできません。

デジタル・トークンのセキュリティは、いくつかの主要な機能によって強化されています。

1. デバイス・バインディング：トークンは特定のデバイスに紐付けられているため、認証コードはそのデバイスでしか生成できません。このデバイス・バインディングにより、攻撃者がトークンを複製したり、別のデバイスに転送したりすることが非常に困難になります。
2. 多要素でのセットアップ：デジタル・トークンの初期設定には、銀行のPINに加えて、ユーザーの身元を確認するためにSMSやメールで送信されるOTPがしばしば使用されます（一部の銀行では、このアプローチで物理的なトークンも廃止しています。その場合、物理的なOTPトークンが使用できます）。トークンが有効化されると、それが認証の主要な方法となり、将来のOTPとその関連する脆弱性の必要がなくなります。例えば、DBS銀行はデジタル・トークンの初期設定時にSMSとメールのOTPを組み合わせて使用し、その後はトークンのみに依存して認証を行います。
3. 時間ベースまたは暗号化による保護：デジタル・トークンは、強力な暗号化アルゴリズムまたは時間ベースのアルゴリズム（TOTP）を使用して認証コードを生成します。これにより、デバイスと認証サーバー間の通信が傍受されたとしても、コードを簡単に解読したり偽造したりすることはできません。

DBS銀行は、シンガポールの大手金融機関であり、顧客のセキュリティを強化するためにデジタル・トークンを成功裏に導入しています。同行は、顧客のモバイルデバイスにデジタル・トークンを設定するために、以下のものを要求します。

• ユーザーが知っているもの： PIN
• ユーザーが持っているもの： SMS OTP（電話番号に割り当てられた電話へのアクセス）
• ユーザーが持っているもの： メールOTP（アカウントに割り当てられたメールへのアクセス）

一度設定されると、デジタル・トークンはログインや取引を認証する唯一の方法となり、OTPを標的とするフィッシング攻撃のリスクを効果的に軽減します。

接続されているメールアドレスが最新でなく、物理的なトークンが利用できない場合、ユーザーは代替オプションでデジタル・トークンを設定できます。

代替オプションには、SingpassによるデジタルID、顧客の近くの支店にあるビデオテラーマシン（VTM）の使用、または3〜5日以内に物理的に郵送される登録コードの要求が含まれます。

OTPからデジタル・トークンへの移行は、従来の認証方法に関連するいくつかの脆弱性に対処します。

• 部分的なフィッシング耐性：デジタル・トークンはユーザーのデバイス上で直接生成・使用されるため、フィッシングによる傍受のリスクがありません。詐欺師がユーザーを騙してログイン情報を入力させたとしても、デバイスに物理的にアクセスしなければ必要な認証コードを生成することはできません。
• 攻撃対象領域の縮小：認証コードの伝送チャネルとしてSMSやメールを不要にすることで、デジタル・トークンは詐欺師が悪用できる攻撃対象領域を減らします。
• ユーザーの利便性：初期設定には追加の手順が必要かもしれませんが、デジタル・トークンの継続的な使用はユーザーにとってシームレスで便利です。SMSやメールでOTPが届くのを待つ必要がなくなり、遅延やブロックされることもありません。

フィッシングは部分的に改善されますが、新たなリスクとして、顧客がデジタル・トークン認証リクエストに継続的に慣れることで、MFA疲労攻撃の犠牲になる可能性があります。攻撃者はこの慣れを利用し、フィッシングページから同様のリクエストを送信するかもしれません。

これが、多くの侵害を経験してきた大手テック企業（例：GoogleやMicrosoft）が、顧客を保護するためにプッシュ通知にチャレンジ（例えば、正しい番号を選ぶなど）を導入し始めた理由です。

デジタル・トークンは、デジタルバンキングの領域においてより安全な認証方法を提供しますが、フィッシングのリスクを完全には排除しません。攻撃者は依然として、被害者にデジタル・トークンのリクエストを確認させるよう説得することで、自身のアクセスを認証させることができてしまいます。DBS銀行の実装が示したのは、既存の要素を組み合わせることで、顧客を別の認証形式に簡単に登録させることが可能だということです。その時点で疑問となるのは、なぜMASとDBS銀行はパスキーを導入しないのか、という点です。これについて見ていきましょう。

これまで見てきたように、デジタル・トークンは従来のSMS OTPと比較して、デジタルバンキングの取引を保護する上で一歩前進したものです。しかし、デジタル・トークンは強化されたセキュリティ機能を提供するものの、完全にフィッシング耐性があるわけではありません。攻撃者は依然として、被害者にデジタル・トークンのプロンプトを確認させるよう説得することで、不正なリクエストを認証させることができてしまいます。この継続的な脆弱性は、デジタル・トークンが改善ではあるものの、オンラインバンキングを保護するための十分な大胆な一歩ではないことを示唆しています。

パスキーは、真にフィッシング耐性のある認証方法を提供します。デジタル・トークンとは異なり、パスキーは正しいウェブサイトやアプリケーションでしか使用できないため、本質的にフィッシング攻撃に耐性があります。これにより、ユーザーが偽のサイトで認証情報を入力するように騙されることがなくなります。パスキーは公開鍵・秘密鍵暗号方式に依存しており、秘密鍵はユーザーのデバイスに安全に保存され、関連するオペレーティングシステムのクラウドで安全に暗号化されます。公開鍵は認証サービスと共有されます。

パスキーがセキュリティを強化する方法は次のとおりです。

1. フィッシング耐性：パスキーは、偽のウェブサイトに認証情報を入力するリスクを排除します。認証プロセスはチャレンジを発行した正規のサイトでのみ進行できるため、フィッシングの試みは無効になります。技術的に、間違ったページでパスキーを使用することは不可能であり、平均的な消費者がパスキーを第三者にエクスポートすることも不可能です。
2. マルチデバイス対応：多くの場合単一のデバイスに紐付けられるデジタル・トークンとは異なり、パスキーは同じクラウドまたはパスワードマネージャー内の認証済みデバイス間で安全に同期できます。これにより、さまざまなデバイスから銀行サービスにアクセスするユーザーに柔軟性と利便性を提供します。
3. 強力なデバイスセキュリティ：パスキーは、モバイルフォンのエコシステム（iOSやAndroidなど）内で2FAが有効になっていることを要求します。この追加のセキュリティ層により、デバイスが侵害された場合でも、攻撃者はパスキーにアクセスするためにデバイスの2FAをバイパスする必要があります。私たちは、パスキーに関するSCA/PSD2の詳細を説明する際にすでに詳細を説明し、同期パスキーがデバイスに紐付けられていなくても銀行業務に使用できる理由を説明しました。

オーストラリアは、サイバーセキュリティのベストプラクティスを概説するEssential Eight標準において、フィッシング耐性のある認証の重要性を認識しています。この標準は、フィッシングリスクを軽減するための技術的要件の必要性を具体的に言及しており、オーストラリアをアジア太平洋地域におけるサイバーセキュリティのリーダーとして位置づけています。先進的なデジタルインフラを持つシンガポールは、オーストラリアの先例に倣い、パスキーを自国の標準や企業向けの推奨事項に統合すべきです。これにより、セキュリティが強化されるだけでなく、シンガポールがデジタルセキュリティにおける世界的なベストプラクティスと足並みをそろえることになります。

銀行業界は、銀行業務における同期パスキーの使用を明確に許可する、明確な規制ガイダンスを待っています。そのような動きは、銀行がこの先進技術を採用し、顧客に真に安全で便利な認証方法を提供する自信を与えるでしょう。シンガポール金融管理局（MAS）は、パスキーの使用を推奨することで、デジタルバンキングセキュリティの新たな基準を設定する機会を持っています。そうすることで、MASは最先端のセキュリティ対策を開拓するというコミットメントを示し、シンガポールがデジタルバンキングイノベーションの最前線にあり続けることを保証するでしょう。

ユーザーをより安全なデジタル・トークンに移行させることは、シンガポールのオンラインバンキングセキュリティを強化するための重要な一歩です。しかし、将来を見据えると、銀行がウェブ認証の事実上の標準となるパスキーの採用を開始することが不可欠です。シンガポールの銀行がセキュリティインフラを将来にわたって保証するための主要な提言をいくつか紹介します。

1. パスキーの早期収集を開始する： デジタル・トークンへの移行と並行して、銀行はユーザーからパスキーを収集するプロセスも開始すべきです。この積極的なアプローチは、パスキーが広く受け入れられ、採用された際に、銀行がシームレスな移行に備えるのに役立ちます。現在のオンボーディングおよび認証プロセスにパスキー収集を統合することで、銀行は徐々に安全なパスキーのデータベースを構築できます。
2. PINをパスキーに置き換える： パスキーを採用するための実践的かつ即時のステップは、従来のPINをパスキーに置き換えることです。パスキーは、公開鍵・秘密鍵暗号方式を活用し、PINよりも安全で便利な代替手段を提供します。パスキーを主要な認証方法として実装することで、銀行はセキュリティを強化しつつ、よりスムーズなユーザー体験を提供できます。
3. パスキーを第一要素または追加のリスク対策として採用する： パスキーは、認証の第一要素として、または多要素認証（MFA）設定における追加のリスク対策として利用できます。認証プロセスにパスキーを組み込むことで、セキュリティの層が追加され、攻撃者がユーザーアカウントを侵害することが著しく困難になります。銀行は、パスキーをオプションのセキュリティ機能として提供し始め、徐々に認証プロセスの標準的な一部にすることができます。
4. 顧客にパスキーについて教育する： パスキーの成功裏な実装には、顧客の認識と受容が必要です。銀行は、パスキーの利点とセキュリティ機能について顧客に情報を提供するための教育キャンペーンに投資すべきです。パスキーの仕組みとフィッシング攻撃からの保護における役割について明確に伝えることで、より多くの顧客がこの技術を採用するよう促されます。
5. 規制当局や業界関係者と協力する： 銀行は、シンガポール金融管理局（MAS）のような規制機関や業界の同業者と積極的に協力し、パスキー実装のための標準化されたガイドラインを確立すべきです。共同の取り組みは、銀行セクター全体で一貫性のある安全なアプローチを保証し、シンガポールのデジタルバンキングセキュリティ全体を向上させます。
6. インフラとサポートシステムに投資する： パスキーの実装には、堅牢なインフラとサポートシステムが必要です。銀行は、安全な鍵管理システムや既存の認証フレームワークとの統合など、パスキー認証をサポートするために必要な技術とリソースに投資すべきです。スムーズで安全なユーザー体験を保証することが、広範な採用の鍵となります。
7. 新たな脅威を監視し、適応する： 脅威の状況を定期的に監視し、それに応じてセキュリティ対策を更新することで、銀行は潜在的なリスクの一歩先を行くことができます。パスキーは、継続的なセキュリティ強化と組み合わせることで、新たなフィッシングや詐欺の手口に対する強固な防御を提供します。

これらの提言に従うことで、シンガポールの銀行業界における認証のセキュリティはさらに向上し、現在パスキーを認証技術として言及していないSafe App Standardのようなコンプライアンスフレームワークや標準への統合も見出せるでしょう。

要約すると、シンガポール金融管理局（MAS）によるSMS OTPの段階的廃止とデジタル・トークンへの移行の発表は、デジタルバンキングのセキュリティを強化する上で重要な一歩です。この動きは、消費者と銀行セクターに大きな影響を与えているフィッシング詐欺の脅威の増大に対応するものです。

• OTP廃止の理由： MASがOTPの廃止を優先するのは、フィッシングや傍受に対する脆弱性のためです。詐欺師はSMS OTPの脆弱性を悪用しており、より安全な認証方法の必要性が高まっています。
• デジタル・トークンとは： デジタル・トークンは、デバイスに紐付けられ、強力な暗号化アルゴリズムを採用することで、強化されたセキュリティを提供します。これにより、従来のOTPと比較してフィッシング攻撃に対する耐性が高まります。また、利便性を提供し、SMSやメールベースの認証コードを不要にすることで攻撃対象領域を減らします。
• パスキーはシンガポールの銀行業務に役立つか： パスキーは、堅牢でフィッシング耐性のある認証を提供する優れた代替手段として浮上しています。公開鍵・秘密鍵暗号方式を利用することで、パスキーは正規のサイトでのみ認証が行われることを保証し、フィッシングのリスクを大幅に軽減します。マルチデバイス対応と強力なデバイスセキュリティも、その魅力をさらに高めています。

デジタル・トークンの利点を探る中で、フィッシングリスクを完全に排除するには限界があることに気づきました。一方、パスキーは包括的な解決策を提供し、デジタルセキュリティにおける国際的なベストプラクティスと一致しています。デジタル・トークンへの移行は前進の一歩ですが、最終的な目標は、デジタルバンキング認証の将来の標準としてパスキーを採用することであるべきです。