シンガポールの小売銀行は、フィッシング攻撃のリスクを軽減するため、オンラインアカウントへのログイン時に一度限りのパスワード（OTP）の使用を3か月以内に段階的に廃止することになりました。この決定は、2024年7月9日にシンガポール金融管理局（MAS）とシンガポール銀行協会（ABS）によって発表されました。MASは、デジタルトークンをモバイルデバイスに有効化した顧客に対し、ブラウザやモバイルバンキングアプリを通じて銀行口座にログインする際にデジタルトークンを使用するよう求めています。デジタルトークンは、詐欺師が盗むことができるOTPを必要とせずに顧客のログインを認証します。また、MASは、資格情報の盗難やアカウントの乗っ取りを目的とした攻撃から保護するために、顧客にデジタルトークンの有効化を促しています。

OTPはもともとアカウントのセキュリティを強化するための二要素認証（2FA）の形態として導入されましたが、サイバー犯罪者は銀行トロイの木馬、OTPボット、フィッシングキットを開発し、類似サイトを使用してこれらのコードを収穫することが可能です。OTPボットは、Telegram経由でアクセス可能であり、100ドルから420ドルの間で広告されています。これらは社会工学を次のレベルに引き上げ、ユーザーに電話をかけてアカウント保護をバイパスするために電話上で2FAコードを入力させることを目的としています。

最近、SlashNextは「教育目的のみ」とされる「FishXProxy」というフィッシングツールキットの詳細を公開しました。これは、防御を回避しながら大規模なフィッシングキャンペーンを立ち上げることを目指す新たな脅威アクターに技術的なハードルを下げます。FishXProxyは、マルチレイヤーのメールフィッシング攻撃に対する強力な武器をサイバー犯罪者に提供します。

また、Googleは、Androidアプリの権限を乱用してOTPを読み取り、機密データを収集するアプリのサイドローディングを防ぐために、シンガポールで新しいパイロットプログラムを発表しました。

【ニュース解説】

シンガポールの小売銀行が、フィッシング攻撃のリスクを軽減するために、オンラインアカウントへのログインに使用される一度限りのパスワード（OTP）を段階的に廃止し、デジタルトークンへの移行を3か月以内に完了することが決定されました。この変更は、シンガポール金融管理局（MAS）とシンガポール銀行協会（ABS）によって発表され、顧客のセキュリティを強化することを目的としています。

OTPは、アカウントへのログインや取引承認時に、セキュリティを強化するために一時的に生成されるパスワードです。しかし、サイバー犯罪者は、フィッシングサイトやトロイの木馬、OTPボットを使用してこれらのパスワードを盗み出し、不正アクセスを試みる手法を開発してきました。特に、OTPボットは電話をかけてユーザーに2FAコードの入力を促すことで、セキュリティ対策を回避することが可能です。

デジタルトークンは、このような攻撃からユーザーを守るための代替手段として提案されています。デジタルトークンは、モバイルデバイスにインストールされ、ユーザーが銀行口座にログインする際に自動的に認証を行う仕組みです。これにより、OTPを盗み出すことができないため、フィッシング攻撃のリスクを大幅に低減することができます。

この変更は、顧客の利便性に一定の影響を与える可能性がありますが、フィッシング攻撃による不正アクセスや金融詐欺から顧客を守るためには必要な措置です。また、サイバー犯罪者が新たな攻撃手法を開発する中で、銀行や金融機関は常にセキュリティ対策を更新し、顧客の資産と情報を保護するための努力を続ける必要があります。

長期的には、このようなセキュリティ対策の強化は、オンラインバンキングの安全性を高め、より信頼性のあるサービスを提供することに繋がります。しかし、技術の進化と共にサイバー犯罪の手法も進化するため、ユーザー自身もセキュリティ意識を高め、定期的なパスワード変更や不審なメールへの注意など、基本的なセキュリティ対策を怠らないことが重要です。

from Singapore Banks to Phase Out OTPs for Online Logins Within 3 Months.