iOS 12に搭載の機能でオンラインバンキングでパスワードを自動入力するバグ

2018年7月19日 2018年7月16日

セキュリティコードオートフィルは、iOS 12のiPhoneの新機能です。

二要素認証の使いやすさを向上させる予定ですが、トランザクション署名/認証プロセスの人的検証の側面を取り除くことで、ユーザーをオンラインバンキング詐欺にさらす可能性があります。

2段階認証と呼ばれることが多い2要素認証（2FA）は、多くのセキュリティシステム、特にオンライントランザクションやリモートアクセスに不可欠な要素です。

ほとんどの場合、2FAは、ユーザーがモバイルデバイスにアクセスできるかどうかを確認することで、拡張セキュリティを提供します。

たとえば、SMSベースの2FAでは、ユーザーは電話番号をオンラインサービスに登録します。

このサービスは、対応するユーザーアカウントのログイン試行を見ると、ワンタイムパスワード（OTP）を送信します。

登録された電話番号に4〜6桁の数字を入力します。

正規のユーザーはこのコードを受け取り、ログインプロセス中に入力することができます。

偽装者はアクセスできません。

6月のWWDC18デベロッパーカンファレンスで、AppleはiOS 12の2FAプロセスのこの最後のステップを自動化し、ユーザーエクスペリエンスを向上させると発表しました。

ベータ版の開発者が現在利用可能なセキュリティコードの自動入力機能により、モバイルデバイスは、そのようなコードの着信SMSメッセージをスキャンし、デフォルトのキーボードの上部に表示することができます。

新しいセキュリティコードオートフィル機能について説明する前に、SMSによる認証は、ユーザーが積極的にアプリを切り替えてコードを記憶することに依存しています（数秒かかることがあります）。

一部のユーザーは、プレビューバナーのコードが表示されている間に暗記して入力しようとします。

Appleの新しいiOS機能では、セキュリティコードを自動的に入力するためにユーザーからのワンタッチが必要です。

これにより、ログイン処理が高速化され、エラーが減少し、2FAのユーザビリティが大幅に改善されます。

また、iPhoneユーザー間で2FAの採用を拡大する可能性もあります。

さらに、ユーザーがSMSをMacBookやiMacと同期させると、既存のテキストメッセージ転送機能もiPhoneからコードをプッシュし、Safariでセキュリティコードの自動入力を有効にします。

新しいユーザーによる技術の採用を改善し、既存のユーザーの利便性と満足度を高めるために、ユーザーのやりとりにおける摩擦を減らすことは、新しい概念ではありません。

これは長年の学界で議論されており、業界内の共通の目標でもあります。

銀行や金融サービスで、これは、金融業界および決済業界が、非接触型（近距離通信またはNFC）支払いをどのように促し、従来のチップおよびPIN支払いよりもはるかに迅速に特定のしきい値を下回る取引を実現する方法において明らかです。

iOS 12セキュリティコードの自動入力機能により、銀行やユーザーが詐欺にさらされる可能性がある。

建築家やデザイナー、特にコンピュータセキュリティでは、システムのある部分を変更するときに、それが相互作用する他のすべての部分にどのように影響するかを評価する必要があることがわかっています。

iOS 12の今後登場するセキュリティコードオートフィル機能は、SMSベースの2FAをユーザーにとってより便利にする一方で、トランザクション署名とトランザクション認証番号（TAN）のセキュリティ上の利点を否定する可能性があります。

ユーザ認証とは対照的に、トランザクション認証は、ユーザの個人識別だけではなく、アクションの意図の正当性を証明します。

これはオンラインバンキングで最も広く知られており、特に、洗練された攻撃から守るために不可欠なツールであるダイナミックリンクのEUの改訂版決済サービス指令（PSD2）要件を満たす方法として知られています。

たとえば、敵対者は被害者を騙して、意図した口座とは異なる口座に振り込むことができます。

これを達成するために、敵対者は、フィッシングやビニングなどのソーシャルエンジニアリング技術、および/またはMan-in-the-Browserマルウェアなどのツールを使用する可能性があります。

トランザクション認証は、これらの敵に対して防御するために使用されます。

さまざまな方法が存在しますが、現在使用されている最も一般的な方法の1つですが、トランザクションデータを要約し、そのデータから特別に作成されたコードを追加し、両方をSMS経由で登録電話番号に送信します。

この場合、ユーザまたは銀行の顧客は要約を確認し、要約が自分の意図と一致する場合は、SMSメッセージからWebページにコードを入力する必要があります。

SMSベースのOTPの批評家は、2FAやトランザクション認証のどちらに使用されようが、安全でないと言いました。例えば、近年、国立標準技術研究所（NIST）は、当初、安全な認証用の通信媒体としてSMSを公に批判しました

セキュリティコードが自動入力されるのは便利ですが、これを悪用しフィッシングサイトなどでデータが抜き取られる可能性があります。

ウイルス対策だけではなく、フィッシングサイトの対策も行うようにしましょう。