開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ

  • 2020/01/14

MUFGのフィンテック事業会社CTOが語る「キャッシュレス時代に求められるID技術」とは (2/2)


「7payアプリの不正利用」はなぜ起きたか

 続いて楠氏は、キャッシュレス関連の事例として2019年7月に起きた7payアプリの不正利用問題を紹介した。これは、「端末とIDとの紐づけ」がなされた脅威モデルだ。

 通常、アプリ認証では、リスト型攻撃によるID詐取を抑止する観点からも、端末とIDを紐づけ、複数端末から同一IDでのログインは禁止する。そして、1台の端末からは複数IDでのログインを許可する。

 しかし、7payアプリにおいては、複数IDを取得したユーザーが、1台のスマホ端末からキャンペーン景品の「おにぎり」などを複数受け取ることを防止する必要があった。このため、1台の端末からは複数IDでのログインを禁止し、その代わり1つのIDで複数の端末からのログインを許可していた。

画像
7payの事例では「端末とIDとの紐づけ」に問題があった

 これによって「リスト型攻撃なりパスワードリセットによって認証を突破できれば、攻撃者の端末から比較的容易に不正アクセスが可能な状態にあった」と楠氏は説明する。


支払いサービスを実装する上でのポイントは

 楠氏は、支払いサービスを実装する上では、「既存サービスの建て増しに問題があるケースが多い」と述べた。

 そして、支払いサービスを問題なく実装するにはさまざまな観点が必要だと説明した。具体的には以下の3つだ。
(1)必要に応じて脅威分析からやり直しサービスの再構築する
(2)不正のモニタリングと継続的な改善
(3)要件を切り詰めリスクを限定する
 楠氏は、多要素認証はそれぞれの認証方法で得手、不得手があるため、特性を理解しながら最適な組み合わせを選ぶ必要があると指摘。

 認証やパスワードを巡る常識の変化にキャッチアップする点が重要であるとまとめた。

お勧め記事

トピックス

PR