UAE、オンライン取引のSMS OTPを段階廃止——生体認証＋アプリ署名へ全面移行する意味

今日の深掘りポイント

• 規制ドリブンでSMS OTPが退場し、アプリ内生体認証と暗号署名（デバイスバインディング）へ標準が切り替わる流れです。SIMスワップやスミッシングのROIを一気に下げる一方、モバイル端末・アプリ層への攻撃圧力が高まります。
• 3-D Secure 2.xの「アプリ・チャレンジ」前提での本人認証に重心が移るため、発行・加盟店・PSPの相互運用試験とUX最適化が直ちに課題になります。
• セキュリティ要件の重心は「メッセージの受取可否」から「WYSIWYSなトランザクション署名（何を承認したかの不可否認性）」へ移動します。
• SOC/Threat Intelは、SMSインターセプト検知から「アプリ内承認の強要・自動承認・AiTM」による不正承認検知へプレイブックを組み替える必要があります。

はじめに

UAEの主要銀行がオンラインカード購入のSMS OTPを廃止し、アプリベースの認証と生体認証へ全面移行します。2026年1月6日から支払い確認は各行のモバイルアプリ経由となり、中央銀行の方針により2026年3月までにSMS OTPを終了するスケジュールと報じられています。背景には、SIMスワップ・スミッシング・AiTMといった「OTPに依存する認証」の脆弱性があり、デバイス内での生体認証と鍵ベース署名に寄せることで、攻撃者から見たコスト構造を変える狙いがあります。
編集部としては、単なる二要素の器具変更ではなく、取引の「実体を結びつける」設計（ダイナミックリンク/WYSIWYS）への回帰が本質だと見ています。UX・包摂性・運用の現実解を含め、成熟度と速度のバランスが問われます。

（注）本件の一次通達は公開URLで確認できていません。現時点で編集部が確認できたのは二次報道です。規制詳細は各行・規制当局の正式告知を必ず確認ください。

深掘り詳細

事実関係（編集部が確認できた一次・公的情報と整合する範囲）

• 二次報道によれば、UAEの主要行は2026年1月6日から支払い認証をアプリ経由に切替え、SMS/メールOTPを段階廃止。中央銀行は2026年3月までの終了を求めていると報じられています。Biometric Update が報じています。
• SMS OTPの脆弱性は公的にも指摘済みです。NIST SP 800-63Bでは、SMSを用いたアウトオブバンドはリスクが高い「制限付き」認証器とされ、SIMスワップ等のリスク低減措置を強く求めています。NIST SP 800-63B です。
• カードCNP本人認証の実装基盤はEMV 3-D Secure 2.xが主流で、アプリ内のチャレンジやデバイスバインディング、リスクベース認証を前提にしたフローが標準化されています。EMV® 3-D Secure仕様 です。

この組合せは、規制（中央銀行）、標準（EMV 3DS）、ガイドライン（NIST）が同じ方向を向いている、という点で実行可能性が高い構図です。

編集部の視点（仮説を含む）

• 攻撃面の重心移動です。SMS経路のインターセプト（SIMスワップ/SS7悪用/スミッシング）から、モバイル端末・銀行アプリ・生体認証UXにおける社会工学/自動化/逆プロキシ/AiTMに重心が移ります。
• 本質は「所有（デバイス鍵）＋生体（継続的な本人性）＋取引内容の暗号学的結合（WYSIWYS）」の三位一体化です。OTPは「誰が何を承認したか」の結合が弱かったのに対し、アプリ署名は取引ダイナミックリンクで不可否認性を高められます。
• 一方で、包摂性の課題は残ります。高齢者・フィーチャーフォン利用者・越境利用（ローミング不安定など）に対するバックアップ導線が、利便性と安全性のトレードオフを再び持ち込みます。規制が「SMS禁止」を打ち出すほど、代替経路の設計品質がセキュリティの新たな脆弱点になり得ます。
• 3DSのチャレンジ率・ドロップ率・承認遅延がKPIとして前面に出ます。短期的にはチャレンジ率上昇でCVRが低下しやすいですが、安定したデバイスバインディングが確立できれば、長期的にはリスクスコアによるフリクションレス比率を戻せる見立てです（仮説です）。

脅威シナリオと影響

以下は、SMS OTP廃止後に想定される不正シナリオの仮説と、MITRE ATT&CKに沿った整理です（技術IDは代表例で、実際の事案では複数技術が組み合わさります）。

• シナリオ1：AiTM＋承認強要（偽画面/電話併用）

  • 流れ（仮説）：攻撃者がフィッシング（Smishing/メール）で偽決済画面に誘導 → 逆プロキシでセッションを中継しつつ、被害者の銀行アプリに飛ぶ実取引を発火 → 被害者の端末に正規の「承認」プッシュが到達 → 音声/チャットで「テスト確認です」等の誘導で承認させる。
  • ATT&CK例：T1566 Phishing、T1557 Adversary-in-the-Middle、T1078 Valid Accounts、T1621 Multi-Factor Authentication Request Generation（プッシュ疲労の誘発）。
  • 影響：SMSインターセプトが不要になり、社会工学の巧拙が成否を分けます。承認プロンプトの文言・ダイナミックリンクの可視化設計が決定的です。

• シナリオ2：Androidバンキング型マルウェアによる「自動承認」

  • 流れ（仮説）：端末に侵入したマルウェアがアクセシビリティ権限・オーバーレイで銀行アプリを監視し、承認画面の自動タップや画面隠しを行う。
  • ATT&CK観点：アプリの認証処理改変・入力捕捉（MITRE MobileのInput Capture/Overlay系テクニック）、T1556 Modify Authentication Process（認証処理の改変）。
  • 影響：SMS盗み見の代替として、端末衛生・権限悪用検知・ランタイム整合性（root/フック/エミュレータ）検知が主要防御面になります。

• シナリオ3：生体認証のプレゼンテーション攻撃（PAI/PAD回避）

  • 流れ（仮説）：高精細動画・シリコンマスク等を用いた顔認証への攻撃、もしくはOS提供の生体APIを迂回するサードパーティ生体の実装不備を突く。
  • ATT&CK観点：T1556 Modify Authentication Process、社会工学の補助。
  • 影響：OSネイティブの強生体（Android Class 3/Apple Secure Enclave）とISO/IEC 30107-3準拠のPAD検証、サーバ側アンチスプーフィングの組合せが実装品質の肝になります。

• シナリオ4：サポート悪用でのデバイス再バインド

  • 流れ（仮説）：カスタマーサポートに対するなりすましで端末紐付けを解除・再登録し、攻撃者端末でアプリ承認を可能化。
  • ATT&CK例：T1566（電話を含むフィッシング/ビッシング）、T1656 Impersonation（なりすまし、参考カテゴリ）。
  • 影響：「端末切替」や「アプリ再有効化」の本人確認強化（時間遅延・対面/KYC強化・リスクシグナル参照）が要点です。

副作用として、加盟店側では3DSチャレンジの増加・承認遅延・バスケット放棄が短期的に上振れします。技術的負債が残る3DS 1.0/OTP前提のフローはUAE発行カードで一段と非互換になり、更新圧が強まります。

セキュリティ担当者のアクション

発行・加盟店・PSP・SOCで観点が異なります。今日から着手できる実装・運用の要点をまとめます。

• 発行側（バンキングアプリ／認証基盤）

  • デバイスバインディングの強化
    • ハードウェア保護鍵（Android Keystore/StrongBox、Apple Secure Enclave）で鍵生成・保護を徹底し、トランザクション署名に使用します。
    • サーバサイドでAndroid Play Integrity API / Apple DeviceCheck等のリモートアテステーションを併用し、root/エミュ/フック/改造ROMを高感度に弾きます（偽陽性の経路設計も並走が必要です）。
  • 生体認証の堅牢化
    • OSネイティブの強生体（Android Class 3レベル）/LocalAuthenticationを優先し、サードパーティ生体はISO/IEC 30107-3のPAD実装と第三者評価（例：iBeta Level 2）を条件化します。
    • 生体失敗時のフォールバックは、PIN/パスフレーズ＋リスクシグナルで段階的制限をかけ、短絡的なSMS回帰を不可にします。
  • 承認UI/文言の設計
    • 金額・加盟店名・地域・端末情報など「承認対象の事実」をWYSIWYSで明示し、承認を習慣化させないUI（押し間違い防止、遅延挿入）とします。
    • 連続リクエストに対してはコールレート制御と「異常な連打」検知（MFA疲労対策）を必須化します。
  • サポートと運用
    • 端末再登録フローはクーリングオフ（時間遅延）と多要素KYC（既存デバイス承認・対面/ATM併用）で強化します。
    • 通信事業者のSIMスワップシグナル（GSMA Open GatewayのSIM Swap API等）の参照を標準化し、直近変更端末からの高額承認を制限します。
  • 検知・レスポンス
    • 3DSチャレンジの「承認ミスマッチ」（端末指紋/ネットワーク/地理）や、短時間多件の承認、アプリ計測SDKからのAccessibility悪用兆候をSIEMに連携します。

• 加盟店・PSP

  • 3DS 2.2/2.3の完全対応
    • アプリtoアプリ・アウトオブバンドチャレンジのUX最適化（ディープリンク/Universal Link、遷移リトライ、タイムアウト時の再挑戦）を整備します。
    • UAE発行カードのBINレンジでA/Bテストを行い、チャレンジ率・CVR・認証遅延の最適点を把握します。
  • リスクベースの摩擦最小化
    • DS/ACSからのリスク信号に基づくフリクションレス比率を段階的に回復させる計画を立て、過渡期のコンバージョン落ち込みをモニタリング・補正します。

• SOC／Threat Intelligence

  • TTPの更新
    • OTP収集インフラ監視（スミッシング/フィッシングSMS収集）から、モバイル・バンキング型マルウェアのアクセシビリティ悪用・オーバーレイ検体追跡、AiTMフィッシング・リバースプロキシの新FQDN・証明書運用監視へ比重を移します。
  • プレイブック
    • 「正規承認が付いた不正」ケースの一次対応（即時カード停止・デバイス再バインドの棚卸し・端末衛生ガイダンス・法的エスカレーション）をテンプレート化します。

• KPI/メトリクス設計（現場向け）

  • 3DSチャレンジ率、承認遅延中央値、承認ドロップ率、再バインド要求率、SIMスワップ検知一致率、Accessibility悪用シグナル検知件数/誤検知率を四半期で追い、認証強度とUXのバランスを可視化します。
  • 監督部門向けには「トランザクションダイナミックリンク適用率」「強生体利用率」「フォールバック使用率（理由別）」の監査証跡を整備します。

最後に、この移行は「SMSの代わりに生体」ではなく、「認証の物語を作り直す」取り組みです。ユーザーが承認する瞬間に、何を・なぜ・どの端末で承認しているのかを伝え切る情報設計が、技術と同じくらい重要です。攻撃者は人の注意の隙間を衝きます。そこを設計で埋めることが、今回の規制の真価を引き出します。

参考情報

• Biometric Update: Biometrics replacing SMS OTPs for UAE online transactions（2026-01）
  https://www.biometricupdate.com/202601/biometrics-replacing-sms-otps-for-uae-online-transactions
• NIST SP 800-63B: Digital Identity Guidelines – Authentication and Lifecycle Management
  https://pages.nist.gov/800-63-3/sp800-63b.html
• EMV® 3-D Secure（3DS）技術仕様
  https://www.emvco.com/emv-technologies/3d-secure/
• Android BiometricPrompt/強生体（Class 3）ドキュメント
  https://developer.android.com/training/sign-in/biometric-auth
• GSMA Open Gateway（SIM Swap APIなど通信事業者由来リスクシグナルの標準API）
  https://www.gsma.com/open-gateway/
• iBeta PAD（ISO/IEC 30107-3のプレゼンテーション攻撃検知評価）
  https://www.ibeta.com/biometrics/presentation-attack-detection/

（注）UAE中央銀行の当該通達は、公開一次資料のURLを現時点で確認できていません。制度詳細・適用範囲は各行の公式告知・CBUAEの正式文書で最終確認ください。