これは単なる憶測に過ぎないのでしょうか。不安を煽っているだけでしょうか。そのどちらでもありません。2016年5月、米国のシンガーソングライターのKaty Perryがこのような攻撃の被害に遭っており、犯人は彼女のツイッターアカウントのパスワードをリセットしてケイティ本人をアカウントから締め出し、彼女の名前で人種差別的・同性愛者差別的な発言を書き込みました。
それでは、銀行が帯域外(OOB)通信で本人確認をするとしたら、どうすれば良いのでしょうか。NISTの文書では、これについていくつかの提案をしています。
帯域外(OOB)デバイスは、一意にアドレス可能でなければならず、二次チャネルを通じた通信はプライベートでなければなりません。
これは、デバイスのユーザーではなく、デバイス自体を一意に(それぞれに)識別する何かによってアドレス可能でなければならないということを意味します。
SMS通信は電話番号を使い、Eメールはメールアドレスを使います。いずれの場合もあらゆるデバイスまたはユーザーIDを使用する一般的なメッセージングサービス(WhatsAppなど)で読み取りが可能です。
帯域外認証者は、承認済みの暗号化手法を使用して検証者に対して認証保護チャネルを確立することで、自らを一意に証明しなければなりません。
これは、セキュアなチャネルを確立できなければならないことを意味しますが、インターネットでのセキュアなやり取りに使うプロトコルであるSSLだけで常に実現できるわけではありません。メッセージ取得のための接続を登録済みのデバイスのみに限定することで、なりすましのデバイスを除外する必要があります。
使用するキーは、当該デバイスで利用できる最も安全なストレージに格納しなければなりません。
これは、最良の格納法を利用する方法が各デバイスにあるということを意味しています。攻撃されることもあるプラットフォームセキュリティツールの先を行き、ユーザー独自の暗号化層を追加するのも方法の1つです。
検証者から帯域外デバイスに機密情報が送信された場合、これを受信した帯域外デバイスは認証用の機密情報がオーナーによってロックされている間(すなわち暗証番号かパスコードの入力が必要)は、この情報をデバイスに表示してはいけません。ただし、認証者は認証用の機密情報を受信したことを、ロックされているデバイスに通知することはできます。
通常はロックされている画面にもSMSのサマリが表示されるので、たとえ携帯電話がロックされていても、SMSから送信された機密コードを見ることができます。一方、プッシュ通知では、ロックされている画面に何を表示させるのかをコントロールできるので、機密情報を非表示にできます。
帯域外認証(Out-of-Band Authentication: OOBA)では、例えばセキュアな通信プロトコルを使用して帯域外デバイスを一意に識別するスマートフォンアプリケーションのようなメカニズムを使用しなければなりません。
これには、サードーパーティアプリに依存することなく、直接モバイルアプリケーション内に埋め込まれたセキュリティ層とセキュアな通信層が必要になります。
このように、NISTが提案している体制を実現するための方法を検討する必要があります。現在当たり前のように本人確認のための2段階認証にSMSが利用されていますが、体制の見直しを迫られる日は遠くなさそうです。