わずか数年の間に、オープン バンキング (オープン API を使用して、銀行、保険会社、その他の金融機関のサービスに基づいて第三者が製品やサービスを構築できるようにする) によって、金融サービスの状況は変化しました。
既存の金融サービス製品を活用して、融資、支払い、保険などの分野で新しいサービスを構築できるようになったことで、消費者が取引を完了し、財務を管理し、個人データを制御することがはるかに簡単になりました。 同時に、オープン API プロトコルは金融サービス全体のイノベーションを推進し、金融機関に大きな収益源を生み出しています。 また、API のセキュリティ、相互運用性、パフォーマンスの標準を成文化したFDX API 5.0の新しいリリース、および欧州連合で迫っている PSD2強力な顧客認証 (SCA) の期限により、さらなるイノベーションと新たな収益機会が確実に生まれます。
しかし、報酬があるところには、必ずリスクが伴います。 オープン API は、その性質上、内部データや顧客データを第三者に公開するため、そのデータが悪意のある人物にアクセスされる可能性が高くなります。 これは、Mint や Plaid のように消費者に最新の金融サービスを提供しているアカウント アグリゲータにとって特に懸念される点です。 悪意のある人物がアグリゲーターを利用して銀行、保険会社、その他の金融機関を攻撃し、詐欺行為を行う方法については、以下をお読みください。
金融口座アグリゲータは、消費者の財務状況を 1 つの画面で確認できるようにすることで、消費者に真の価値を付加できます。 また、取引の摩擦を減らし、新たな収益源を生み出すことで金融機関にも利益をもたらします。 そのため、多くの金融機関は、アグリゲーターと接続する際にセキュリティ手順を緩和します。 しかし、アグリゲーターは数億のアカウントのデータを保管できるため、悪意のある行為者にとって魅力的なターゲットであり、特に、より確立された同業他社のような資金や高度なセキュリティを備えていない可能性のある小規模なアグリゲーターにとっては魅力的です。
一方、悪意のある人物が入手できる盗まれたアカウント データの増加は、ボットネットと盗まれた資格情報を使用してアカウントにアクセスしようとする、自動化されたクレデンシャル スタッフィング攻撃を促進しています。 こうした攻撃は金融機関にとって大きな問題となっており、重大なデータ漏洩や多額の金銭的損失を引き起こしています。FBIは最近、クレデンシャル スタッフィングの脅威に関して米国金融業界に正式な警告を発しました。
クレデンシャル スタッフィングの増加による最も憂慮すべき結果は、アカウント乗っ取り (ATO) の増加です。これは、攻撃者がアクセスしたアカウントを制御し、不正にそのアカウントから資金を流出させるものです。 Javelin Strategy and Researchの2021年個人情報詐欺調査によると、2020年のATO詐欺による総損失は60億ドルを超えました。
この調査では、クレデンシャル スタッフィング攻撃の平均コストも計算され、驚くべきことに、そのコストは月間アクティブ ユーザーから得られる収益の 6 倍以上になる可能性があることが判明しました。
リスクはそれだけに留まらず、残念ながら一部の人が考えるよりも深刻です。 悪意のある行為者は、アグリゲータのトラフィックがブロックされる可能性が低いことを知っているので、金融機関へのバックドアとしてアグリゲータを好んで使用します。 たとえば、2019年に金融サービス大手のNCR社は、特定のアグリゲーターによる自動アカウント乗っ取りの波が起こっていることを発見し、一時的に同社のデジタルバンキングプラットフォームへのアクセスをブロックする必要があると判断した。
金融機関は、アグリゲータに API を公開することで、トラフィックの急増を引き起こしたり、その一因となったりして、システム パフォーマンスのリスクも増大させます。 その理由の 1 つは、アグリゲータがオープン バンキング API の最大のヘビー ユーザーの 1 つであり、一般的な銀行のトラフィックの 20% を生成していることです。 FBI によると、もう 1 つの要因は、クレデンシャル スタッフィング攻撃によって金融機関の認証システムに多大な負担がかかり、金融機関がサービス拒否攻撃に直面していると確信するようになることです。
結局のところ、オープンバンキングは金融機関を重大かつ広範囲にわたるリスクにさらすことになります。 そのため、F5 では、金融機関がオープン バンキング API を管理および保護できるよう支援する戦略的なアプローチを採用しています。
F5 は、API 管理、高性能 API ゲートウェイ、高度なセキュリティ制御をオールインワン ソリューションで提供し、ツールの拡散を減らし、アーキテクチャの複雑さを制限するリーダーとしてすでに活躍しています。
F5 は金融機関のアカウントへのログイン試行をリアルタイムで監視し、金融機関が実際のユーザー、ボットと自動化、および手動 (人間による) の不正試行を区別できるようにします。 これが、米国のトップ 15 の商業銀行がすべてF5 ソリューションを使用している理由の 1 つであると考えています。 現在、当社はソリューション セットを拡張し、オープン バンキングをさらに包括的にサポートするための革新に取り組んでいます。
今後数か月間、F5 では、アグリゲータからのトラフィックのより適切な管理や API 攻撃からの保護などのトピックに焦点を当てたオープン バンキングに関する発表をさらに行う予定です。
一例として、当社の Aggregator Management 製品が挙げられます。この製品は、オープン バンキング コミュニティの F5 のお客様に、API トラフィックの可視性の向上、クレデンシャル スタッフィングの自動検出、異常なトラフィックの検出、アグリゲータのコンテンツ アクセス権限を制限する機能を提供します。 金融機関にとって、これはアグリゲーターに対するよりきめ細かな制御、消費者アカウントの詐欺からの保護の強化、アプリの可用性の向上、そしてリスクの低減を意味します。
乞うご期待! その間、オープンバンキングのリスクとその回避方法についてさらに学んでください。