意見 私はPWNEDという週刊コラムを執筆しており、ずさんなセキュリティ対策がいかに深刻な被害につながるかを取り上げています。たいていは、全従業員のパスワードをデスクトップのExcelファイルに保存していたCEOの話のように、どこか滑稽な話が含まれています。
しかし、5月に私自身が経験したことは笑い事ではありませんでした。プロの窃盗団が84歳になる私の母の金融関連の生活全体に侵入し、銀行口座だけで30,000ドルを奪い取ったのです。もし母の金融機関が多要素認証(MFAあるいは2FA)を必須としていれば、犯人たちは侵入できなかったはずです。しかし、あまりに多くの金融機関がこの対策に踏み切っていません。
5月のある日、母は退職貯蓄口座を扱う金融機関から電話を受けました。不審な取引を検知したとのことで、それが本人によるものかどうかを尋ねられました。母は「違う」と答え、金融機関はすぐに口座を保護しました。
その後、母は別の金融機関の銀行口座を確認したところ、口座が侵害されていないか調べるためでしたが、当座預金と普通預金の口座から数千ドルが引き出されていることが分かりました。窃盗団は1日あたりに引き出せる限度額を正確に把握しており、引き出しと、見知らぬ口座への振込の両方を使っていました。しかし、この銀行はその不正な取引にフラグを立てていませんでした。
窃盗団はあまりに巧妙で、母のGmailアカウントに侵入し、銀行や退職貯蓄プロバイダーからのメールをすべて迷惑メールフォルダに振り分けるフィルタを作成していました。これにより、母は振込に関する通知や、犯人が母の名前で作成した偽の口座についての警告に気づけなかったのです。
母は数時間を費やして被害を不正利用対応部門に報告しましたが、担当者は不親切で疑わしげな態度を取り、「本当にご家族の誰かがやったのではないですか?」と尋ねてくる始末でした。
犯人がどうやって母の口座に侵入したのか、確かなことは分かっていません。ただ、母がすべての口座で同じ、あるいは似たパスワードを使い回していたこと、そして少なくとも1つの口座が数年前のデータ漏洩の対象になっていたことは分かっています。そのため、その情報はどこかネット上に出回っていた可能性が高いのです。犯人たちはこの情報を使って、母の退職貯蓄口座、銀行口座、そしてGmailに侵入できたと考えられます。
もし母がこれらの口座でMFAを有効にしていれば、こうしたことは何一つ起こらなかったはずです。しかし、Googleも母の金融機関も、MFAを必須にはしていません。
フィンテック企業向けのSaaS企業Nomadic SoftのCEO、グレゴリー・シャイン氏はこう述べています。「多くの消費者は、すべての銀行が2FAを必須にしていると思い込んでいますが、それは現実とは違います。一部の金融機関は今なお、セキュリティと利便性のバランスを取るためにこれを任意機能として扱っています。ログイン時のステップが1つ増えるたびに、コンバージョン率が下がり、サポートへの問い合わせが増え、ITに詳しくない顧客の不満につながる恐れがあるからです」
実際、PNCのようにMFAを必須とする銀行がある一方で、バンク・オブ・アメリカ、チェース、キャピタル・ワン、シティバンクなどは任意設定のままにしています。Googleのアカウントも同様にMFAは任意です。
幸いにも、家族の誰かがやったのではと何時間も母を疑い、何度も電話を保留にし、迷路のような自動音声メニューを延々とたどらせた末に、銀行は最終的に調査を行うことに同意しました。
それから数週間後、盗まれた資金は返還されました。
完全にハッピーエンドとは言えない結末
母は幸運でした。というのも、銀行口座からお金を盗まれた場合、少なくとも米国では、それが必ず戻ってくるという保証はないからです。
消費者金融保護局(CFPB)によれば、明細書の発行日から60日以内であれば取引に異議を申し立てることができます。銀行側にも調査のための45日間が与えられますが、これは口座開設からまだ30日しか経っていない場合や、不正取引が米国外で行われた場合には適用されません。
しかし、銀行がその不正取引を正規のものと判断し、返金を拒否する可能性も十分にあります。銀行が返金に同意しない場合、次の手段は弁護士を立てて訴訟を試みることです。簡単に検索しただけでも、私の地域にこの問題を専門に扱う弁護士が何十人も見つかりました。
母が被害に遭ったことを、母自身の責任にするのはたやすいことです。複数の場所で同じパスワードを使い回していたことが、悪用される隙を大きく広げてしまいました。しかし、銀行側が第二の認証要素を必須としていなかったことも、一因であることは間違いありません。銀行はパスワードなしでは取引をさせませんし、PINなしでATMカードを発行することもありません。それは、最低限のセキュリティレベルが必須であることを銀行自身が理解しているからです。
銀行をはじめとする金融機関はそれを分かっているはずです。Googleも分かっているはずです。しかし、自分たちの利用者のお金がかかっているにもかかわらず、彼らは皆、セキュリティよりも利便性を優先しているのです。
より強固なログインセキュリティを提唱する業界団体FIDOアライアンスのCEO、アンドリュー・シキアール氏はインタビューでこう語りました。「人口のセグメントによって、テクノロジーの導入スピードは速かったり遅かったりします。もし私が銀行だったら、それを非常に慎重に考慮しなければなりません。取引関係を一つも失いたくないからです。そのため、利便性の低下に対する懸念が、一部の銀行やその他のサービス事業者がこれをより積極的に推し進めることをためらわせている要因になっていると思います」
MFAはどれほど効果があるのか
Microsoftが2019年に発表した記事によれば、MFAはアカウントへの攻撃の99.9パーセントを防ぐとされています。しかし、他の専門家たちは、この数字は誇張されていると指摘しています。犯罪者であれば、ソーシャルエンジニアリングや傍受など、MFAを突破する方法は数多く存在するからです。
MFAの中でも特によく使われる、SMSメッセージやメールを通じてワンタイムパスコードを発行する方式には、本質的な欠陥があります。執拗な窃盗犯であれば、ソーシャルエンジニアリングを駆使して、被害者の電話番号が登録されたSIMカードを入手し、テキストメッセージを傍受することが可能です。また、メール自体が完全に安全でなく、そこにOTPが届く設定になっている場合、そちらも突破される可能性があります。フィッシング詐欺師たちは、銀行のログインページそっくりの偽サイトを作成し、OTPをだまし取ることもできます。
今日、MFAを実施する正しい方法はパスキーを使うことです。パスキーは暗号鍵ペアであり、秘密鍵はユーザーのデバイス上に、公開鍵はサーバー上に保存されます。デバイス上の鍵にアクセスするには、ユーザーはPINを入力するか、Yubikeyのような物理セキュリティキーに触れるか、顔や指紋といった生体認証でログインする必要があります。パスキーはフィッシングにも傍受にも遭わないため、「フィッシング耐性のあるMFA」と呼ばれています。
残念ながら、多くの銀行は依然としてOTPに固執しています。例えば、私が米国の銀行チェースのウェブサイトで、家族の口座のMFAを設定しようとしたときのことです。
チェースでは、メール、SMS、または電話によるOTP受信を選択できました。FIDOアライアンスによれば、この銀行はパスキーの導入を進めているとのことです。ウェルズ・ファーゴ、USバンク、バンク・オブ・アメリカも同様です。
一部の銀行は、モバイルアプリ内でのみより優れたMFAを採用している場合があります。例えばチェースのアプリでは、ウェブサイトではそうしないにもかかわらず、ログイン時に指紋認証や顔認証の使用を求めてきます。しかし、窃盗犯がチェースのウェブサイトからログインしようとした場合、生体認証によるチャレンジは一切発生しません。そして、そもそもユーザーがMFAをまったく有効にしていなければ、窃盗犯にとって侵入はさらに容易になります。
シキアール氏はこう述べています。「OTPは結局のところ、もう一つのパスワードにすぎません。寿命が短いというだけで、実質的には別のパスワードです。そして使い勝手の問題もあります。モバイルとデスクトップの間を行ったり来たりする必要があるからです。これは安全性に欠け、非効率で、ユーザー体験として本当に不十分なものです」
銀行が理解していないように見えるのは、セキュリティというものは最も弱い侵入口のレベルでしか担保されないということです。セキュリティ対策がモバイルアプリにしか存在しなければ、ウェブベースの攻撃には何の役にも立ちません。あるセキュリティレベルが任意設定であれば、大多数の人はそれを有効にしません。窃盗犯たちは最も抵抗の少ない経路を選んで侵入してくるため、サービス提供者はすべての侵入経路を等しく、デフォルトで固めておく必要があります。
残念ながら、利便性をセキュリティより優先するアプローチは、より多くの人々がお金を失う結果につながるでしょう。そして最終的には、こうした不正取引の被害者に返金を強いられることで、銀行自身もお金を失うことになります。
シキアール氏は私たちにこう語りました。「銀行がパスキーのみを義務化するようになるまでには、まだしばらく時間がかかると見ています。しかし、彼らが押し進めれば押し進めるほど、それに対する安心感は高まっていきます。そうすればやがて、それが事実上のデフォルトとなり、実質的に必須、あるいはほぼ必須と言える状態になる時期に到達するでしょう」
その時期は、今であるべきです。®