WEKO3
アイテム
オープンAPIの認可プロトコルへの脅威とFAPI 2.0による対策
https://ipsj.ixsq.nii.ac.jp/records/240764
https://ipsj.ixsq.nii.ac.jp/records/2407647ed61a9b-7e3f-4d8c-8b7b-f10539500465
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2024018.pdf (1.2 MB)
2026年10月15日からダウンロード可能です。
|
Copyright (c) 2024 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2024-10-15 | |||||||
| タイトル | ||||||||
| 言語 | ja | |||||||
| タイトル | オープンAPIの認可プロトコルへの脅威とFAPI 2.0による対策 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Threats to Authorization Protocols of Open APIs and Countermeasures with FAPI 2.0 | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | オープンAPI,脅威,脆弱性,セキュリティ,認可プロトコル,FAPI 2.0,OAuth 2.0 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||
| 資源タイプ | conference paper | |||||||
| 著者所属 | ||||||||
| 日本銀行 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Bank of Japan | ||||||||
| 著者名 |
宇根, 正志
× 宇根, 正志
|
|||||||
| 著者名(英) |
Masashi, Une
× Masashi, Une
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 金融分野では,金融機関のオープンAPI によって個人財務管理などのフィンテック・サービスが提供されている.セキュリティの観点では,金融機関は,顧客がフィンテック事業者に対して自分の金融取引情報へのアクセスを認可していることを確認する必要がある.また,フィンテック事業者と連携し,認可プロトコルを安全に設計・運用することも求められる.認可プロトコルの仕様としてOAuth 2.0 のフレームワークが金融分野に限らず幅広く採用されている.もっとも,OAuth 2.0 の要求事項を満たしていない認可プロトコルの実装例が少なからず存在するとの研究報告があり,情報漏洩などのリスクが指摘されている.リスク軽減策として,セキュリティ・プロファイルFAPI 2.0の要求事項を満たすように認可プロトコルを設計することが有効である.ただし,FAPI 2.0 は特定の実装環境を前提に開発されているため,FAPI 2.0 を活用する際には,不正なクライアント・アプリを使用した攻撃など,想定されていない攻撃方法に留意する必要がある. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | In the financial sector, fintech services such as the personal financial management are provided with open APIs of financial institutions. In terms of the security, such a financial institution must confirm that a customer has authorized an access of a service provider to her/his financial transaction information. It is also necessary to design a secure authorization protocol and operate it appropriately in collaboration with the service provider. The OAuth 2.0 framework has been widely adopted as the specification of the authorization protocol. However, a recent academic literature shows that there are many OAuth 2.0 based protocols which do not meet its security requirements. This fact indicates the existence of security risks such as customers’ information leakage. In order to mitigate such risks, it is effective to design the authorization protocol in such a way to satisfy security requirements of the FAPI 2.0 security profile. FAPI 2.0 was developed under certain assumptions on the implementation environment. When financial institutions and fintech service providers make use of FAPI 2.0, they have to pay attention to attacks which are not assumed in FAPI 2.0, e.g., attacks with a malicious client application. | |||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集 p. 129-136, 発行日 2024-10-15 |
|||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
