《金融商品交易商綜合監理指引》部分修正等(草案)(←對應所謂證券詐騙交易),以下為pub.美國 OpenID 基金會對《金融商品交易商綜合監理指引部分修正草案》等提出以下評論。美國 OpenID 基金會的網站只有英文版,所以沒有合適的地方放日文版,所以貼在這裡。
.公眾對《金融工具公司綜合監管指引(新、舊)(草案)》的意見
。 1.對《金融服務協議》的評估及本修訂建議的意義。1.
首先,我對修訂建議的整體情況深表敬意。經修訂的監管指引極為重要,因為它為整個行業提供了具體而實際的指引,以採取有效措施應對網路釣魚和未授權存取等網路威脅,而這些威脅近年來已顯著變得更加複雜和精密。特別是其中包含的國際高層次要求,如強制性的防釣魚多因素認證、強化的行為偵測和防詐騙措施的系統化等,值得高度讚揚。我們讚揚將強化偵測和系統化反詐騙措施等國際高標準要求納入其中。此外,鼓勵使用業界指引和資訊分享機構(如 ISAC)的架構,是以「持續改善」而非單純規範為前提的實務架構,可視為監管指引的範例。
.
2.
2.發現和改進建議
。
(1) P.5 在電子郵件和簡訊中禁止連結的定位
建議的修訂中指出「不應在電子郵件或 SMS 中包含密碼提示頁 URL 或登入連結」,雖然從使用者保護的角度來看,這一點很重要,但實際上也有因合法理由而發送連結的情況(密碼重設連結、魔法連結、支援 WebOTP 的 SMS 等)的情況也存在。WebOTP 是一種特別能抵抗網路釣魚的技術,因為它是透過瀏覽器連結,並自動進入正確的網站,無需人工干预。
另一方面,預料攻擊者仍會繼續傳送具有高度便利連結的訊息,因此與其一律禁止,不如將立場設定為「原則上禁止,只有在沒有適合的替代措施時才允許」,並在稍後階段將立場定位為「確保安全性的輔助措施」。我們認為,將該定位移至第二階段為 「確保安全性的補充措施」,可在使用者便利性與安全性之間取得平衡。
.
。
(2) P.5 關於合法網站確認措施的定位
。
「驗證使用者所存取網站真實性的措施」也很重要,但依賴人類視覺的措施對網路釣魚的抵抗力有限。這也應在後面的章節中提及,作為額外的措施,而主要的防禦措施應該是自動化和以加密為基礎的防釣認證技術。
.
。
(3) P.6 實施並要求防釣魚的多因素驗證
。
「對於登入、提款和變更資金提取的銀行帳戶等重要操作,強制實施防網絡釣魚的多因素認證」極其重要。但是,在實際操作中,往往會出現客戶在設定後自行恢復密碼認證,或者密碼認證僅僅停留在特殊交易的情況。不用說,即使為交易設定了進階驗證,如果密碼驗證仍然存在,也是沒有意義的。
因此,建議一旦設定了進階驗證,就應該廢除密碼,並清楚說明使用者無法還原的機制。此外,應利用目前以風險為基礎的認證概念,並將登入密碼和交易密碼的逐步應用作為一種選擇。這將使個人理財管理員 (PFM) 繼續適用於非API 經紀商,並降低風險。從中期來看,同時切換 API 供應和高級認證將有助於防止欺詐,同時將對消費者的影響降至最低。
.
。
(4) 註冊驗證方式時的安全性
。
攻擊者有可能利用密碼登入作為註冊自己密碼匙的立足點。因此,應該清楚說明,只有在具有強大識別功能(例如公開個人驗證)的會話中,才允許初始註冊通行鑰等進階驗證。
.
。
(5) P.6 行為偵測的持續應用
。
目前的提案建議將行為偵測作為通行鑰成為強制性規定之前的臨時措施,但由於在導入通行鑰之後仍可能發生會話劫持和篡改
,因此應將行為偵測和行為分析變為永久性的強制規定。
.
。
(6) P.6 帳戶鎖定的風險和替代方案
。
「連續驗證失敗時自動啟動帳號鎖定」可在 大規模帳號鎖定與呼叫中心飽和攻擊中透過 DoS 攻擊被利用,尤其是使用順序客戶號碼作為登入識別碼時,攻擊者可利用此混亂情況。假設帳戶接管。對於機械式暴力攻擊,延遲回應(例如等待一分鐘)和額外的驗證請求是有效的方法,帳戶鎖定應定位為最後的手段。
.
。
(7)強化會話安全和操作員之間的協作
。
在這項提案中,會話安全性的觀點有點單薄。目前尚不清楚 透過偵測 cookie 發送者的瀏覽器和 IP 變更來限制權限,或 在操作者之間分享異常交易偵測資訊(例如利用美國的 OpenID Shared Signals Framework)是否是個好主意。Cyber Security and Infrastructure Security Agency (CISA) 和美国国家安全局 (NSA) 推荐),从而实现广泛的欺诈防范。
.
。
(8) Terminology review: from ‘multi-factor authentication’ to ‘advanced authentication’ or ‘secure customer authentication’
.
.
儘管在各處補充「可抵抗網路釣魚」可能是安全的,但「多因素驗證」一詞一般來說太過廣泛,而且有可能會機械式地採用低品質的多因素驗證。提案中真正的重點應該是抵抗各種威脅,例如「抵抗網路釣魚」。替换或补充术语将明确意图,并在实践中提高质量。
.
3.
3. 最後
。
建議的修正並非僅是形式上的規定,而是更注重實效,並考慮到最新的攻擊策略和技術趨勢,被視為平衡使用者保護和便利性的進步嘗試。上述的改善建議,是基於實務經驗與最新的國際趨勢,希望能同時達到更高的保護層級與操作可行性。我們對 FSA 能夠繼續領導制定如此高標準的指引抱有強烈的期望和敬意。
.
2.發現和改進建議
。 (1) P.5 在電子郵件和簡訊中禁止連結的定位 建議的修訂中指出「不應在電子郵件或 SMS 中包含密碼提示頁 URL 或登入連結」,雖然從使用者保護的角度來看,這一點很重要,但實際上也有因合法理由而發送連結的情況(密碼重設連結、魔法連結、支援 WebOTP 的 SMS 等)的情況也存在。WebOTP 是一種特別能抵抗網路釣魚的技術,因為它是透過瀏覽器連結,並自動進入正確的網站,無需人工干预。
另一方面,預料攻擊者仍會繼續傳送具有高度便利連結的訊息,因此與其一律禁止,不如將立場設定為「原則上禁止,只有在沒有適合的替代措施時才允許」,並在稍後階段將立場定位為「確保安全性的輔助措施」。我們認為,將該定位移至第二階段為 「確保安全性的補充措施」,可在使用者便利性與安全性之間取得平衡。
(2) P.5 關於合法網站確認措施的定位
。「驗證使用者所存取網站真實性的措施」也很重要,但依賴人類視覺的措施對網路釣魚的抵抗力有限。這也應在後面的章節中提及,作為額外的措施,而主要的防禦措施應該是自動化和以加密為基礎的防釣認證技術。
. 。(3) P.6 實施並要求防釣魚的多因素驗證
。 「對於登入、提款和變更資金提取的銀行帳戶等重要操作,強制實施防網絡釣魚的多因素認證」極其重要。但是,在實際操作中,往往會出現客戶在設定後自行恢復密碼認證,或者密碼認證僅僅停留在特殊交易的情況。不用說,即使為交易設定了進階驗證,如果密碼驗證仍然存在,也是沒有意義的。
因此,建議一旦設定了進階驗證,就應該廢除密碼,並清楚說明使用者無法還原的機制。此外,應利用目前以風險為基礎的認證概念,並將登入密碼和交易密碼的逐步應用作為一種選擇。這將使個人理財管理員 (PFM) 繼續適用於非API 經紀商,並降低風險。從中期來看,同時切換 API 供應和高級認證將有助於防止欺詐,同時將對消費者的影響降至最低。
(4) 註冊驗證方式時的安全性
。攻擊者有可能利用密碼登入作為註冊自己密碼匙的立足點。因此,應該清楚說明,只有在具有強大識別功能(例如公開個人驗證)的會話中,才允許初始註冊通行鑰等進階驗證。
. 。(5) P.6 行為偵測的持續應用
。目前的提案建議將行為偵測作為通行鑰成為強制性規定之前的臨時措施,但由於在導入通行鑰之後仍可能發生會話劫持和篡改
,因此應將行為偵測和行為分析變為永久性的強制規定。 . 。(6) P.6 帳戶鎖定的風險和替代方案
。3. 最後
。建議的修正並非僅是形式上的規定,而是更注重實效,並考慮到最新的攻擊策略和技術趨勢,被視為平衡使用者保護和便利性的進步嘗試。上述的改善建議,是基於實務經驗與最新的國際趨勢,希望能同時達到更高的保護層級與操作可行性。我們對 FSA 能夠繼續領導制定如此高標準的指引抱有強烈的期望和敬意。
.