消費者が家計を管理し、金融口座を一元化し、個人の財務目標を達成するのに役立つ無数のモバイルアプリが利用できるようになっています。 よく知られているファイナンシャルアグリゲータは、従来の銀行口座の残高や取引を統合する一般的なアプリケーションであり、オープンバンキングの「結合組織」と表現されることもあります。 銀行にとっては、金融情報を共有する仕組みとして、また消費者にとっては、一元化されたデータハブを通じて、ますます多様化する金融サービスの可視性を獲得することが可能になります。

ファイナンシャルアグリゲータは、消費者と銀行の両方に優れたサービスを提供していますが、信頼モデルを利用してデータを違法行為に活用しようとする犯罪者によって武器化されることも頻繁にあります。 悪用の可能性が低く、無害で健全なフィンテックであると想定されていたものが突然悪用される可能性があり、最終的には、有用性の信頼を必要とする金融システム内に不信の種をまく可能性があります。

信頼モデルでファイナンシャルアグリゲータをどのように使用できるか、説明しましょう。ファイナンシャルアグリゲータは信頼できるエコシステムに組み込まれているため、セキュリティ制御を緩和することで、ファイナンシャルアグリゲータが Web ページに簡単にアクセスできるようになると仮定します。 つまり、もし私がファイナンシャルアグリゲータの提供者である場合、エンドユーザーから提供されたオンラインバンクのログイン情報のコピーを持っているので、その情報のみでサービスを提供することができます。 これは、ユーザー側の信頼の1つの要素で、ユーザーはオンラインバンキングの資格情報を提供します。

銀行側では、新しいアクセスポイント(新しい IP アドレス、デバイス、地理位置情報など) ごとに 2 要素認証 (2FA) が行われるため、異常なログインは検知されることになり、ファイナンシャルアグリゲータはこの認証コードを取得して適用することができません。 2FA が届く範囲の外に、ファイナンシャルアグリゲータのシステムが存在するためです (一部のファイナンシャルアグリゲータは 2FAの初期検証チャレンジのプロセスを取得していますが、明確に規則化されてはいません)。 そのため、銀行はこのファイナンシャルアグリゲータのエンドポイントをホワイトリストに登録し、ログイン時に2FAチャレンジを要求しないようにすることができます。

これは、攻撃者にとっては絶好のチャンスです。

通常の方法 (フィッシングや Web サイトのスプーフィング、電子メールの乗っ取り、マルウェア、またはソーシャル エンジニアリング) を介してユーザーのオンラインバンキングのログイン資格情報を取得する攻撃者は、ユーザーの制御下にあるファイナンシャルアグリゲータを使用して、アカウントに関する機密情報を取得するのに十分な情報を取得します。これらは、口座番号、残高と預金、口座の種類と名義や、より一層プライベートな情報である可能性があります。これらデータは、攻撃者が管理する他の金融口座から、攻撃対象の引き落としを設定するために必要なものであり、本質的に重要なものです。

米国では、銀行が口座間で遠隔取引を実行できるようにするマイクロデポジット認証と呼ばれるプロセスを通じて、口座の確認が行われることが多くあります。 これは、例えば口座振替を設定する場合に一般的なプロセスです。 通常は1 ドル未満の少額の預金が２つの口座に入金され、ユーザーは帯域外の認証手順として正確な金額を確認するよう求められます。入金額が確認されると、口座はリンクされ、口座間の入金と引き落としを頻繁に行うことができるようになり、追加の認証無しにお金の出し入れをすることができるようになります。驚くべきは、口座の紐付けや金融取引の実行に摩擦が少ないにもかかわらず、取引開始可能な金額が驚くほど高くなることがあることです。

ファイナンシャルアグリゲータに関連することですが、これらのツールは攻撃者に口座番号を提供し得るものであり、入金された記録を保持することになります。また、多くの金融機関ではMFAでチャレンジされることはないでしょう。したがって、攻撃者は被害者の口座に他の金融機関の外部口座をリンクさせ、名前と口座番号から対象となる口座（および現在の口座残高）を特定し、マイクロデポジットを送信して検証することでその口座に対するリンクを開始し、最後に相手口座から引き落としを実行できるようになるでしょう。取引元の金融機関が損失を確認する頃には、攻撃者は不正に入手した資金を持ち去り、取引元の金融機関は事件の責任を負うことになってしまいます。

これは、オープンバンキングの信頼モデルを犯罪者が利用する方法の一例に過ぎません。私たちはすでに、この信頼が悪用され、クレデンシャルスタッフィング攻撃が行われているという現状を目の当たりにしています。

信頼には限界があります。最終的に被害者となる金融機関は、自分たちが標的にされ、悪用されていることに気づけば、アクセスの可能性を完全に排除できる程度までファイナンシャルアグリゲータにとっての障壁を高度化する手段をとることができます。私は、多くの同業者がこのような立場をとり、アクセスを排除したり、よりリスクの高い同業者やフィンテックをウォッチリストに入れたりしているのを見てきました。

米国の銀行は、消費者金融保護局（CFPB）から、ZelleのようなP2Pネットワークにおける支払い詐欺にあったと認められる被害者への補償に関する圧力に直面しており、これらのデータファイナンシャルアグリゲータが攻撃に利用された場合の、複雑化する責任の所在ついて懸念されています。CFPBは、この事例における法的責任についてまだ言及していません。

この問題は、すべての金融機関が関心を持つべき未解決の問題です。間違いなく、目を離すことができない問題であると考えます。

参考文献
How Liability Could Impact the Future of Open Banking (biocatch.com)