新しい生体認証と第二要素認証プロトコルを開発している企業グループである FIDOアライアンスは、欧州委員会が新しい決済サービス指令2(PSD2)によって銀行顧客の認証情報のセキュリティを危険にさらす可能性があると警告した。
非セキュアスクリーンスクレイピングプロトコル
FIDO は、欧州委員会が銀行がより安全なプロトコルを実装するまでの代替手段として、安全でないスクリーンスクレイピングプロトコルの使用を許可することを検討しているという事実に異議を唱えている。
FIDOによると、このスクリーンスクレイピングプロトコルにより、第三者が銀行利用者の代わりに安全ではない方法でログインすることが可能になります。認証情報は、ランダムに生成された認証トークンとしてAPI経由で第三者に送信されるのではなく、デバイスの画面からプレーンテキストで直接取得されます。
スクリーンスクレイピングの慣行は、欧州連合(EU)の主要な銀行関連規制機関である欧州銀行監督局によって、PSD2の最終的な技術草案の作成時に、セキュリティが弱いため禁止されました。
フィンテックの恩恵
PSD2 の最終的な技術草案が発表されて間もなく、一部の金融テクノロジー (フィンテック) 企業は、一部の銀行が PSD2 に記載されているより安全なプロトコルをタイムリーに実装しないため、フィンテック企業が銀行顧客の認証情報を使用するために安全でないスクリーン スクレイピング方式を引き続き使用することを許可されるべきだ、と不満を漏らしました。
欧州委員会は彼らの主張に納得したようで、スクリーンスクレイピング手法を「フォールバックオプション」として利用したい企業が自由に利用できるようにすることを提案しました。しかし、長年にわたるブラウザプロトコルに対する大規模な攻撃から学んだように、安全でないプロトコルをフォールバックオプションとして残しておくことは、問題を招くだけです。プロトコルが存在し、有効化できる場合、たとえそれが特定の企業やその顧客が使用するメインプロトコルでなくても、攻撃者はそれを悪用するでしょう。
FIDOアライアンスの推奨事項
FIDOアライアンスは、PSD2発効時に義務付けられる最終的な技術標準にスクリーンスクレイピングプロトコルを組み込むことを強く反対しています。PSD2はその後も何年も存続するため、スクリーンスクレイピング手法も今後何年もの間、広く受け入れられるプロトコルとなるでしょう。さらに、フィンテック企業にとって、特により安全なプロトコルの使い勝手が悪い場合、スクリーンスクレイピングを使用しないというインセンティブはほとんどないでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
FIDOは、PSD2の発効までに一部の銀行がより安全なプロトコルを導入できない場合、スクリーンスクレイピングプロトコルを公式標準とするのではなく、政策によってこれらの銀行はPSD2の即時適用を義務付けられないようにすべきだと主張しています。さらにFIDOは、PSD2の最終的な技術標準にスクリーンスクレイピングプロトコルを含めることで、欧州委員会が銀行業界に対し、顧客のためにより優れたセキュリティ対策を講じることを求めているというメッセージが薄れてしまうと主張しています。
更新、2017 年 9 月 8 日午後 12 時 40 分 (太平洋時間): 見出しが更新され、FIDO アライアンスが懸念しているのは PSD2 の最終草案で許可される可能性があるスクリーン スクレイピングであり、PSD2 の法律全体ではないことが明確になりました。
