更新:ウィル・ストラファッハはガットマンの考えに疑問を抱いている。
https://twitter.com/chronic/status/1014304649233477632
AppleはiOS 12とmacOS Mojaveで、SMSで送信される2段階認証コードの管理を容易にする新しいセキュリティコード自動入力機能を導入しました。しかし、あるセキュリティ研究者が、この機能に関する潜在的な詐欺行為への懸念を詳述した新たな記事を公開しました。
この機能に関する当初の報道では、SMSによる2要素認証は2要素認証の中で最も安全な方法ではないと指摘しました。今回、OneSpanのケンブリッジ・イノベーション・センターの研究者であるアンドレアス・ガットマン氏が、Appleの新しい自動入力機能に伴うセキュリティ上の懸念についてさらに詳しく解説します。
セキュリティコード自動入力は、iOS 12 の iPhone 向け新機能です。2 要素認証の使いやすさを向上させることが期待されていますが、トランザクションの署名/認証プロセスにおける人間による検証部分が削除されるため、ユーザーがオンライン バンキング詐欺の被害に遭う可能性があります。
ガットマン氏によると、人間による認証プロセスは二要素認証の重要な側面です。このプロセスがなければ、ユーザーは「中間者攻撃、フィッシング、その他のソーシャルエンジニアリング攻撃」の被害に遭いやすくなります。
ガットマン氏はさらに、この機能は銀行業務に関連した取引認証に問題を引き起こす可能性があると書いている。
トランザクション認証は、ユーザー認証とは異なり、ユーザーの身元だけでなく、行動の意図の正しさを証明します。これはオンラインバンキングで最も広く知られており、特にEUの改正決済サービス指令(PSD2)のダイナミックリンク要件を満たす手段として、高度な攻撃から身を守るための不可欠なツールとなっています。
ユーザーがこの重要な情報を確認するという事実こそが、セキュリティ上のメリットをもたらすものです。この確認をプロセスから排除してしまうと、セキュリティコードの自動入力は無効になってしまいます。セキュリティコードの自動入力がオンラインバンキングのセキュリティにリスクをもたらす可能性がある例としては、MacBookのSafariからオンラインバンキングにアクセスするユーザーに対する中間者攻撃(必要に応じて必須入力フィールドタグを挿入する)や、悪意のあるウェブサイトやアプリが銀行の正規のオンラインバンキングサービスにアクセスするケースなどが挙げられます。
全文はぜひ読んでみる価値があり、こちらからご覧いただけます。
Appleのニュースをもっと知りたい方は、YouTubeで9to5Macを購読してください。
jidoon.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。