idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2025年11月)

本稿は FAPI WG の 2025 年 11 月の活動を遡及的にまとめたものである(執筆日: 2026-04-24)。

1. 概要

FAPI (Financial-grade API) WG は、金融 API に求められる高いセキュリティ要件を定めるプロファイル仕様群を策定している。2025 年 11 月は、FAPI 2.0 Message Signing の Final 仕様承認を受けた事後処理(IANA 登録)、FAPI1 の ISO 採択に向けた編集修正、IETF 124 で発表された新たな攻撃手法への対応検討、そして英国 FCA の規制パブリックコメント対応準備という四つの軸で活動が展開された。月次のメーリングリスト投稿数は 9 件と比較的少なめだったが、それぞれが具体的な Bitbucket issue として記録されており、ワーキンググループとしての着実な進捗が確認できる。

2. 公開された仕様・ドラフト改訂

11 月中に新たに公開された仕様ドラフトは確認されなかったが、FAPI 2.0 Message Signing が Final Specification に到達したことに伴う事後処理が進行した。Filip Skokan (panva) が Issue #844 として追跡しているとおり、FAPI 2.0 Message Signing で定義された response_modes クライアントメタデータを IANA の OAuth Dynamic Client Registration Metadata レジストリへ登録申請する必要があり、同様の手続きを経た JARM Errata (Issue #715) が手続き上の前例として参照された。

FAPI1 については、ISO 採択に向けた一連の編集作業が継続しており、11 月下旬に Issue #845 と Issue #846 が相次いで起票された(詳細は §3・§4 を参照)。

3. ミーティングと議論

11 月 12 日:定例 WG コール — 中止

Mike Leszcz(OIDF オペレーションディレクター)より、11 月 12 日の定例コールが共同議長の都合により中止になったことが通知された。

11 月 19 日:FAPI Atlantic Call

Nat Sakimura が開催 15 分前に参加者へリマインダーを送付した。公開されているアジェンダは以下のとおりである。

  1. ロールコール(Dave/Nat)
  2. アジェンダの採択(Dave/Nat)
  3. イベント報告(Mike L.)
  4. 外部組織・リエゾン(Mike L.)
  5. プルリクエスト審議(Dave)
  6. Issues 審議(Dave)
  7. その他事項(Nat)

FAPI Atlantic Call は FAPI WG が隔週で開催する定例コールのうち、欧州・大西洋時間帯に合わせたセッションである。議事録は非公開のため、具体的な審議内容は ML 投稿および Bitbucket issues から推定する。

11 月 26 日:定例コール(推定)

翌 27 日に Kosuke Koiwai が「Nat のリクエストに基づき昨日のミーティングで Issue #845 を起票した」と ML に投稿しており、11 月 26 日にも WG コールが開催されたと推定される。Issue #845 の起票経緯から、ISO 採択向けの編集方針が会議内で議論され、具体的な修正箇所の洗い出しが指示されたとみられる。

4. メーリングリストの主要スレッド

11 月の openid-specs-fapi ML には計 9 件のメッセージが投稿された。技術的・戦略的に重要な 4 スレッドを取り上げる。

Issue #843: Browser swapping attacks — 2025-11-03 開始

発端: Joseph Heenan が IETF 124 で発表された「ブラウザスワッピング攻撃」(browser swapping attack) を FAPI WG に報告した。同攻撃は IETF 124 当日(2025 年 11 月 3 日)に発表されたものであり、プレゼンテーションのスライドが issue に添付された。

問題提起の内容: FAPI2 の現行セキュリティ脅威モデルが、この新たな攻撃ベクターを十分にカバーしているかが問われた。ブラウザスワッピング攻撃とは、認可コードフロー中にユーザーのブラウザセッションを攻撃者のブラウザに差し替える手法であり、既存の PKCE や DPoP による対策の有効性を問い直す可能性がある。

状況: 当月中に ML 上での追加議論は記録されなかった。Issue として FAPI WG に正式に登録され、脅威モデルの評価作業が後続月に引き継がれた。

Issue #844: Submit FAPI 2.0 MS IANA registrations — 2025-11-04 開始

発端: Filip Skokan (panva) が FAPI 2.0 Message Signing の Final 仕様承認後の事務処理として Issue #844 を起票し、ML に通知した。

内容: FAPI 2.0 Message Signing で新たに定義された response_modes クライアントメタデータを、IANA の OAuth Dynamic Client Registration Metadata レジストリへ登録申請する必要がある。手続きの前例として、JARM Errata 対応時の登録申請(Issue #715)が参照された。

意義: Final 仕様の公開後に IANA 登録が完了することで、他の標準実装者が response_modes メタデータを参照する際の公式な権威ソースが確立される。

UK Open Banking/FCA RFCs — OIDF RFC Subgroup 形成 — 2025-11-05 開始

発端: OIDF のエグゼクティブディレクター Gail Hodges が、英国金融行為規制機構(FCA)が 2026 年第 1 四半期に 2 件のリクエスト・フォー・コメント(RFC)を発出する見込みであることを報告し、OIDF として協調した意見書を提出するためのサブグループ形成を呼びかけた。

主要参加者と立場:

  • Gail Hodges(OIDF): FCA との既存の戦略的パートナーシップを活かし、FAPI WG と Ecosystem Support CG が連携して OIDF 意見書を作成する体制を 12 月の休暇前までに整えるべきと主張。OIDF スタッフも当四半期中に FCA と直接対話予定であることを言及した。
  • Chris Robbertse(Open Banking UK): 翌 11 月 6 日に返信し、英国オープンバンキング側からも当該動きを支持する姿勢を示した。

背景: 英国では 2025 年に成立した関連法令に基づき FCA が規制権限を付与されており、FAPI2 を基盤とする英国オープンバンキング標準の改訂に影響を与えうる RFC の発出が予告されていた。

状況: 当月中にサブグループへの具体的な応募者が ML 上で確認されることはなかった。

Issue #845: ISO 採択向け追加編集修正 — 2025-11-27 開始

発端: Kosuke Koiwai が 11 月 26 日の WG ミーティングでの Nat Sakimura の指示を受け、FAPI1 の ISO 採択に必要な編集上の修正箇所を Issue #845 として整理した。

具体的な修正内容:

FAPI 1.0 Part 1:

  • 仕様名の先頭にあるハイフンの除去(64〜100 行)
  • 「RFC4122 UUID」→「RFC 4122 UUID」(空白の追加)
  • 「BCP195」→「BCP 195」(空白の追加)

FAPI 1.0 Part 2:

  • 規範的参照(69〜102 行)の RFC/ISO 略称と番号の間の空白追加
  • 参考文献(817〜853 行)の同様の書式統一

背景: Nat Sakimura は翌日(11 月 27 日)に Issue #846 も起票し、FAPI1 の Abstract 節が ISO Directive Part 2 に存在しない要素であることを指摘した。ISO 採択に向け、文書構造・書式の両面で精緻な準拠作業が進行していることが示された。

5. GitHub 上の議論

FAPI WG の issues/PRs は bitbucket.org/openid/fapi で管理されている。以下は、メーリングリスト投稿から参照された issue 番号および内容をもとに構成する。

Issue #843 — Browser swapping attacks

Joseph Heenan が起票。IETF 124 で発表された攻撃手法の評価。FAPI2 脅威モデルとの整合性確認が課題。

Issue #844 — Submit FAPI 2.0 MS IANA registrations

Filip Skokan が起票。FAPI 2.0 Message Signing Final 仕様に関わる response_modes クライアントメタデータの IANA 登録申請。

Issue #845 — Yet other editorial fixes for ISO adoption

Kosuke Koiwai が起票(Nat Sakimura の指示)。FAPI 1.0 Part 1/Part 2 の書式修正。

Issue #846 — Abstract should not be there for FAPI1

Nat Sakimura が起票。ISO Directive Part 2 に準拠するため、FAPI1 仕様から Abstract 節を除去する必要がある。

6. 関連イベント

IETF 124

IETF 124 が 11 月上旬に開催され、ブラウザスワッピング攻撃の発表が行われた。Joseph Heenan は発表当日(11 月 3 日)に FAPI WG に速報し、FAPI2 脅威モデルへの影響を検討すべきと提起した。IETF での議論が FAPI の仕様策定に直接波及する典型的な事例となった。

オープンバンキングウォレット — 8 周年の節目

Anders Rundgren が 11 月 29 日の ML への投稿で、2017 年に自身が提案したオープンバンキングウォレット構想から 8 年を振り返り、標準化の難しさとエコシステムの現状について個人的な見解を述べた。EU デジタルアイデンティティウォレットが Berlin Group の「Signed Payment Request」アプローチを採用した点を言及し、各デジタルウォレット標準化の進展状況に対する批判的な考察を共有した。FAPI WG の公式な議論ではなく個人的な所感の投稿であるが、より広いオープンバンキングエコシステムへの問題提起として記録に残る。

7. 今後の予定

2025 年 11 月末時点で見通されていた 12 月以降の動きは以下のとおりである。

  • Issue #843 (Browser swapping attacks): FAPI2 脅威モデルに対する評価・対応方針の検討
  • Issue #844 (IANA 登録): response_modes クライアントメタデータの IANA 登録申請の実行
  • Issue #845, #846 (ISO 採択): FAPI1 の編集修正実施、ISO 対応作業の継続
  • UK FCA RFC 対応サブグループ: 12 月休暇前のサブグループ発足と、2026 年 Q1 の FCA RFC 発出に備えた意見書草案の作成

8. 参考情報源