fbpx

分散認証:詐欺を管理する方法とは?

ほとんどの消費者にとって、ビジネス、金融、商取引、ヘルスケアなどの分野でのやり取りは、デジタルチャネルを通じて管理されます。消費者のデジタルプロファイルの幅広い性質は、アクセスと誤用— 時代遅れの認証方法への依存によって悪化した挑戦-のために詐欺師に十分な機会を提供しました。

状況

さらに、モノのインターネットにおけるコンシューマデバイスの拡大は、40年間ほとんど変わっていない従来の認証方式に挑戦しています。今日、モノのインターネットは約8億7000万のコンシューマデバイスを網羅しており、その多くはすでに財務情報や支払い情報へのアクセスを提供しています。仮想ホームアシスタントなどの新しいデバイスは、パスワードやセキュリティの質問の使用にあまり適していないだけでなく、デバイスに格納されたデータに悪意のある人物がアクセスできないようにするための堅牢な保護手段が欠けていることが多く、妥協のリスクを最小限に抑えることはさらに困難です。

問題

一元化された認証および識別システム、最も顕著なのはパスワード、セキュリティの質問、およびPII検証の使用で、不正行為者が侵害による大規模な侵害、またはマルウェア、フィッシング、またはその他の中間スキームの介在者による傍受による侵害のいずれかで簡単に侵害することが証明されています。これらの認証方法はインターネットの黎明期からほとんど変わっていないため、詐欺師は何十年にもわたって攻撃を仕掛けてきました。EMVの実装による偽造カード詐欺の機会の封鎖によって部分的に推進され、詐欺師はますますオンラインポータルに対する攻撃を回しています。パスワード、セキュリティの質問、およびSMSのワンタイムパスワードに対する巧妙な攻撃により、詐欺師は顧客認証の最も一般的な形式を克服するのにほとんど問題がなく、2017年のアカウント乗っ取りの発生率を過去最高に引き上げました。

生体認証モダリティなどのより堅牢な認証方法は、正当な顧客の使いやすさの向上と詐欺師の本当の障壁の両方を同時に実現することを約束しますが、依然として固有のリスクが伴います。不変の物理的特性に依存しているため、生の生体認証データがストレージから、または転送中にキャプチャされた場合、侵害されたユーザーと認証に依存する組織に長期的なリスクをもたらします。

このような背景から、多くの組織が認証の分散型モデルに移行しています。認証中にユーザーのデータが照合される資格情報の集中ストアを維持するのではなく、分散認証スキームは、ユーザーが提供する情報をリモートで(通常はユーザーのデバイスに)保存されているデータと照合します。一致した場合、デバイスはデジタル署名された承認をオンラインリソースに送信し、認証を検証します。

間違いなく最もよく知られている分散認証方式は、消費者のスマートフォンデバイスのオンデバイス生体認証の処理で広く使用されている、FIDO Alliance が発表した標準です。ただし、生体認証モダリティは分散認証スキームに最も強く関連していますが、理論的には、依存者が必要とする保証のレベルに応じて、デバイスに対してユーザーを認証するための任意の方法を使用できます。生体認証と同様に、パスワードやPINなどの知識要素が使用される場合、ユーザーが入力したデータは、デバイスに保存されているハッシュバージョンと単純に比較され、デジタル署名された承認が入力されたデータがデバイスから出ることは決してない、認証サーバーです。

機会

分散認証スキームは、今日の市場で資格情報を危険にさらしたり悪用したりする3つの最も顕著な方法に直接対処します。

  • クレデンシャルの大規模な侵害:クレデンシャルの中央リポジトリが存在しないため、悪意のあるアクセスや偶発的な開示によってユーザーのクレデンシャルが大量に侵害されることはありません。資格情報を侵害するには、悪意のある攻撃者がユーザーのデバイスを個別に標的にする必要があり、攻撃のコストと複雑さが大幅に増大します。
  • 傍受と再生:ユーザーの資格情報は、信頼できる当事者に送信されないデバイス上のデータに対してのみ検証されるため、分散認証スキームにより、中間者攻撃によって傍受された場合でも、送信されたデータが悪用されるリスクが軽減されます。署名された認証応答が転送中にキャプチャされた場合でも、応答はサイトおよび認証されるイベントに固有であるため、このデータを保存して再生し、将来のイベントを認証することはできません。
  • パスワードの再利用:資格情報の保存と送信を安全に管理している組織でさえ、消費者がサービス間で資格情報を再利用することによるデータ侵害の波及リスクに直面しています。分散型認証は、資格情報の生成と管理のプロセスをユーザーの手に委ねることで、パスワードの再利用の問題を解決します。資格情報はデバイス内で手続き的に生成および保存されるため、ユーザーの負担を増やすことなく、すべてのサービスで一意の資格情報を使用できます。

資格情報を危険にさらして再生する機能を削減することに加えて、分散型認証スキームは他の不正防止機能を提供します。エンドユーザーが成功した認証方法を使用すると、同じデジタル署名された承認が得られるため、FIDO Allianceによって提唱されているような標準ベースの分散認証スキームにより、組織はさまざまな認証方法を簡単に展開できます。単純な「タップして承認」通知から、さまざまな生体認証モダリティまでさまざまです。これにより、バックエンドアーキテクチャを更新したり、新しいシステムを実装して新しい認証データをダイジェストしたりする必要がなく、詐欺スキームの変更と激化に直面して認証方法と戦略を更新することがより迅速かつ低コストになります。

最後に、ユーザー資格情報を単一のデバイスにバインドすることにより、これらのスキームは通常、設計による2番目の要素として強力なデバイス認識を組み込みます。これにより、詐欺師が消費者の正当なデバイスになりすますことを本質的に不可能にし、信頼できる当事者が認識されたユーザーの認証エクスペリエンスをより自信を持って合理化できるようにします。つまり、パスワードやPINなど、一般的に脆弱な認証方法が使用されている場合でも、認証の問題を解決するために、詐欺師はユーザーのデバイスにアクセスする必要があります。

脅威

分散型認証によってもたらされる最も明白なリスクは、認証方法の最新化に失敗した組織に対するものです。残りの市場が分散型スキームに移行する一方で、パスワードやナレッジベースの認証やSMSワンタイムパスワードなどの他の集中型認証スキームを引き続き使用するホールドアウトは、詐欺師が残りのサービスに注力しているため、攻撃の高まりに直面します傍受され、侵害された資格情報は簡単に収益化できます。

ただし、完全に保護された詐欺対策ツールはありません。分散認証スキームは、不正リスクを完全に排除するものではなく、保護の特定のギャップをカバーするために追加の制御の実装に依拠しています。デバイスと認証技術の現状により、分散認証は4つの主要な課題に直面しています。

  • ユーザーとデバイスの登録を確保します。すべての認証システムと同様に、認証の前になりすましを防ぐために、初期登録を適切に保護する必要があります。強力な認証方法では、同じ個人がセッションごとにアカウントにアクセスしようとしていることを確信できますが、最初に登録した人の身元を知ることはできません。既知の顧客であっても、IDはユーザーのデバイスに強くバインドされているため、ユーザーがデバイスを変更するたびに、信頼できる当事者はID証明プロセスの一部を繰り返して、新しく登録されたデバイスが正当なユーザーに属していることを確認する必要があります。
  • クレデンシャルの安全な取り扱いと保管。信任状ストレージを中央リポジトリーからユーザーのデバイスに再配置するだけでは、信任状の侵害を防ぐには不十分です。多数のユーザーデバイスへの感染は、一元化された資格情報ストアを危険にさらすよりもさらに詐欺師にとって複雑ですが、ユーザーの資格情報をデバイスメモリ内に保存するか、アプリケーション内で安全に処理しないと、マルウェアやその他のデバイスベースの攻撃によってキャプチャされる機密データが公開されます。安全なエンクレーブや信頼できる実行環境などの安全なストレージシステムを使用して、機密データを分離する必要があります。
  • 認証強度をチャネルリスクに合わせます。分散認証技術はモバイルデバイスに大きく引き付けられていますが、ほとんどのデジタル詐欺の脅威は、モバイルアプリではなくWebインターフェイスを標的としています。モバイルアプリは単一のデバイスとIDに強く結び付いているため、最も一般的なモバイルの脅威は、ユーザーの電話を直接侵害しようとするのではなく、被害者の名前でモバイルアプリの新しいインスタンスを登録することです。逆に、Webポータルはグローバルにアクセスできるため、大規模な攻撃のターゲットとしてははるかに単純です。同時に、安全なストレージと統合認証方式がないため、ほとんどのラップトップとデスクトップは、スマートフォンやタブレットほど分散認証に適しているとは言えません。
    幸い、WebAuthn APIのリリースとラップトップハードウェアの改善により、これはゆっくりと変化しています。Google、Mozilla、およびMicrosoftはすべて、主要なブラウザーでのWebAuthn標準のサポートを発表しており、AppleはSafariとの統合をテストしていると伝えられています。Windows HelloやGoogle Pixelbookの統合U2Fキーなどのサービスは、より新しいより大きなコンシューマーデバイスに、より高度な認証を徐々にもたらしていますが、可用性は依然としてデバイスに依存しています。強力な認証機能がラップトップコンピューターとデスクトップコンピューターに広く普及するまでは、ユーザーのスマートフォンへの帯域外認証要求によっていくつかのリスクに対処できます。ログイン時の帯域外認証が消費者の間で広く採用されることはほとんどありませんが、大規模なトランザクションの試行や疑わしいログイン要求などのリスクの高いイベントに関して追加の保証を提供できます。
  • 新たな詐欺戦術への取り組み。詐欺師は、資格情報を傍受または再生する必要をなくすためにソーシャルエンジニアリングの戦術を開発し、分散型認証システムによって保護されたアカウントを侵害できるようにしています。通常、これには、ユーザーをだまして、頻繁にソーシャルエンジニアリングの電話を通じて、またはフィッシングサイトに誘導することにより、ユーザーを認証するように仕向ける必要があります。この時点で、詐欺師は同時に正当なサイトへのログインを試み、ユーザーが完了する実際の認証要求を促して、詐欺師にアカウントへのアクセスを提供します。

結論

分散認証は、顧客データの漏えいを最小限に抑え、データの悪用に成功してアカウントへのアクセスを取得するリスクを軽減する方法で、ユーザーのIDを検証するための新しいモデルを提供します。これにより、分散型モデルは、生体認証入力などの機密性の高いデータを処理するのに特に魅力的です。すべての認証スキームと同様に、信頼できる当事者は適切な保護手段を実装して、登録を保護し、認証テンプレートとキーをユーザーのデバイスに安全に保存する必要があります。

推奨事項

  • 分散認証方式を使用して、保存および送信された資格情報に関連するリスクを最小限に抑えます。
  • 信頼できる実行環境や安全なエンクレーブなどの安全なストレージを使用して、コンシューマデバイスに保存されている資格情報を処理します。
  • ドキュメントスキャンなどのツールとモバイルネットワークオペレーターデータなどのソースからのリスクインテリジェンスを使用して、新規ユーザーの登録とデバイスの変更に関するリスクを管理します。

SNSでもご購読できます。

コメントを残す

*