BLOG

オープン バンキングは金融機関のイノベーションを促進するが、リスクも伴う

 サムネール
Published October 27, 2021

わずか数年の間に、オープン バンキング(銀行、保険会社、その他の金融機関のサービス上に第三者が商品やサービスを構築できるようにするためのオープンAPIの利用)によって、金融サービス環境は様変わりしました。

既存の金融サービス商品を土台にして融資、決済、保険といった分野に新しいサービスを構築できるようになったことで、消費者は取引の完了、金融生活の管理、個人データの管理を簡単に行えるようになりました。また、オープンAPIプロトコルは、金融サービス全体にわたるイノベーションを促進し、金融機関に大きな収益源をもたらしています。APIのセキュリティ、相互運用性、パフォーマンスの基準を成文化したFDX API 5.0が新しくリリースされたほか、EUではPSD2(欧州決済サービス指令第2版)のStrong Customer Authentication(確実な本人認証、SCA)の期限が迫っているため、さらなるイノベーションと新たな利益機会の拡大が確実視されています。

しかし、利益には必ずリスクが伴います。オープンAPIの本質は内部データと顧客データを第三者に公開することであり、攻撃者からのアクセスに対する脆弱性は高くなります。これは、特にアカウント アグリゲータにとって大きな懸念です。アカウント アグリゲータは、MintやPlaidと同様に、消費者を対象として最先端の金融サービスを推進する役目を担っています。以下では、攻撃者がどのようにアグリゲータを利用して銀行、保険会社、その他の金融機関に攻撃を仕掛けて不正行為を働くのかについて説明します。

リスクの加速:アグリゲータおよびサードパーティの決済サービス プロバイダ経由によるクレデンシャル スタッフィングとアカウント乗っ取りの仕組み

金融アカウント アグリゲータは、消費者が自分の金融生活を1つの画面で確認できるので大変便利です。また、トランザクションの軋轢を減らして新しい収益源を生み出すことで、金融機関にもメリットがあります。それこそが、多くの金融機関がアグリゲータと接続する際のセキュリティ手順を緩くしてしまう理由です。しかし、アグリゲータでは数億件ものアカウントのデータを保管できるため、攻撃者にとって恰好のターゲットとなります。特に、実績のあるアグリゲータと比べて資金力やセキュリティ面で及ばない小規模なアグリゲータは注意が必要です。

一方、アカウント データが盗まれて攻撃者の手に渡るケースが増えると、自動化クレデンシャル スタッフィング攻撃が助長されます。このクレデンシャル スタッフィング攻撃では、攻撃者がボットネットと盗まれた認証情報を利用してアカウントにアクセスしようとします。このような攻撃は金融機関にとって深刻な問題となっており、大規模なデータ漏洩や多額の金銭的損失を引き起こしているため、FBIは先ごろ、クレデンシャル スタッフィングの脅威に関する正式な警告を米国の金融セクターに対して発しました

クレデンシャル スタッフィングの増加で最も懸念されるのは、アカウント乗っ取り(ATO)の増加です。アカウント乗っ取りとは、攻撃者がアクセスしたアカウントを支配して資金口座から資金を不正に引き出す行為です。Aberdeen Groupの最近のレポートによると、オンライン金融サービス会社の84%のオンライン ユーザーが、過去1年以内にATOの犠牲になっています。

また、この調査では、クレデンシャル スタッフィング攻撃の平均コストを計算したところ、月間アクティブ ユーザー数から得られる収益の6倍以上になるという衝撃的な結果が得られました。

リスクはそれだけに留まらず、残念ながら考えられているより深刻です。攻撃者は、アグリゲータ トラフィックがブロックされる可能性が低いことを認識しており、このトラフィックをバックドアとして悪用して金融機関に侵入します。たとえば、2019年に金融サービス大手のNCR Corp.は、特定のアグリゲータによる同社のデジタル バンキング プラットフォームへのアクセスを一時的にブロックしなければなりませんでした。そのアグリゲータからの自動アカウント乗っ取りが相次いで検知されたためです。

また、アグリゲータへのAPI公開はトラフィックの急増の原因となり、金融機関のシステム パフォーマンス上のリスクが増大します。これは、オープン バンキングAPIを最も多く利用しているのはアグリゲータであり、一般的な銀行のトラフィックの20%を占めているためです。FBIによると、もう一つの要因は、クレデンシャル スタッフィング攻撃が金融機関の認証システムに負荷をかけ、金融機関がサービス妨害攻撃を受けていると錯覚してしまうことです。

要するに、オープン バンキングは金融機関を深刻で全社的なリスクにさらします。この問題に対処するために、F5では戦略的手法を通じて、金融機関がオープン バンキングAPIを管理し、セキュリティを確保できるよう支援しています。

金融機関がオープン バンキングを安全に導入するための支援

F5は、ツールの乱立を抑制し、アーキテクチャの複雑さを制限しながら、API管理、高性能のAPIゲートウェイ、高度なセキュリティ管理をオールインワン ソリューションで提供する第一人者としての地位を確立しています。

F5は、金融機関のアカウントへのログイン試行をリアルタイムで監視し、実際のユーザー、ボットや自動処理、手動の(人間による)不正行為を区別できるようにします。それが、米国の上位15位の商業銀行がいずれもF5のソリューションを採用している理由の一つです。F5では継続的な革新を通じて当社のソリューションを拡充するだけでなく、オープン バンキングのためのさらに包括的なサポートも提供しています。

今後数か月の間に、F5はオープン バンキング分野において、アグリゲータからのトラフィックの管理方法の改善やAPI攻撃に対する防御などに注力していく予定です。

その一例がアグリゲータ管理製品です。この製品は、オープン バンキング コミュニティに属するF5のお客様に、APIトラフィックの優れた可視性、クレデンシャル スタッフィングの自動検知、異常トラフィックの検出、アグリゲータのコンテンツ アクセス権限の制限機能を提供します。その結果、金融機関にとっては、アグリゲータのよりきめ細かな管理、不正行為からの消費者アカウントの保護強化、アプリ可用性の向上、リスクの軽減が実現されます。

オープン バンキングのリスクとその回避方法については、以下のリンクをご覧ください。