シンガポール金融管理局(MAS)は、今後3ヶ月以内にワンタイムパスワード(OTP)の使用を段階的に廃止するよう、国内のすべての大手リテール銀行に影響を与える新たな要件を発表した。
この取り組みは、フィッシング詐欺などから消費者を守るため、シンガポール政府とシンガポール銀行協会(ABS)の間で合意された。
「OTPの使用は、オンライン・セキュリティを強化するための多要素認証オプションとして2000年代に導入されました。
「しかし、技術の発展やソーシャル・エンジニアリングの手口が洗練されたことで、詐欺師は本物のウェブサイトによく似た偽の銀行ウェブサイトを開設するなどして、顧客のOTPをより簡単にフィッシングできるようになった。
フィッシング・サイトに加え、OTPは長年アンドロイド・マルウェアの標的となっており、標的口座の二要素認証保護を回避するのに役立っている。
このため、グーグルは今年、「RECEIVE_SMS」、「READ_SMS」、「BIND_Notifications」権限の悪用に対してより積極的な対策を講じるようになり、シンガポールは新たな保護を受ける最初の国のひとつとなった。
さらに、OTPは中間者攻撃(man-in-the-middle attack)によって傍受される可能性があり、SMSベースであれば、SIMスワッピング攻撃を行う脅威行為者によって傍受される可能性がある。
シンガポールの銀行の顧客は、OTPの代わりにデジタルトークンを使用することになり、モバイルデバイスで有効化する必要がある。
ABSによると、シンガポールの3大銀行の顧客の60%から90%はすでにデジタルトークンを利用している:DBS、OCBC、UOBである。
「デジタル・トークンは、詐欺師が盗んだり、顧客を騙して開示させたりするOTPを必要とせず、顧客のログインを認証します」とMASは説明する。
まだデジタルトークンを有効化していない人は、フィッシング詐欺師や詐欺師に対するセキュリティを強化するため、すぐに有効化することを強くお勧めします」とMASは説明している。
デジタルトークンをアクティベートしていない顧客は、従来通りOTPを受け取り続けるが、そのような顧客はますます少数派になると予想される。
Comments