アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
邦銀のフィッシング詐欺対策 (スコア:4, 参考になる)
#以下、文中で大手銀行としている場合では、みずほ銀行(MHFG)、三井住友銀行(SMFG)、東京三菱銀行(MTFG)、UFJ銀行(UFJHD)、りそな銀行(りそなHD)、中央三井信託銀行(MTHD)の六グループ(括弧内はグループ名)傘下の主要銀行と、住友信託銀行を指すものとします。ネット銀行という場合には、ジャパンネット銀行、イーバンク銀行、ソニー銀行のネット専業三行に加え、暫定的に新生銀行を加えた四行を指すものとします
第一に、1)の部分ですが、現状では銀行が取引確認のために送付するメールの大半では、特定のURLに誘導するメールは減りつつあると思います。以前記載していた銀行も、直接記載はやめる傾向にあります
しかし、問題はメールを使って決済機能を提供しているネット銀行で、イーバンク銀行のメルマネ [ebank.co.jp]とジャパンネット銀行のJ振 [japannetbank.co.jp]の二つがあります。これらは、基本的には欧米で猛威を振るっているフィッシング詐欺の標的になっているPaypalと同じスキームを使った決済手段であるという点に注目すべきだと思います。特に、後発であるJ振の場合、単にメールでURLを表示してJNBの口座保有者を誘導できるだけでなく、振込先の口座番号の入力を省略できるサービスなので、リスクはメール以外でもWebサイトなど無制限に拡大する可能性があります
第二に、銀行のサイトであることを確認する手段を確保するという点ですが、高木先生が2001年の段階でご指摘されているように、a)URLを確認できるようにアドレスバーを隠さない。b)SSL通信が行えるか確認できるようステータスバーを隠さないの二点に関して、基本的な対策を行っていない銀行が多く存在するという問題です。特に大手銀行では東京三菱銀行が、ネット系銀行ではソニー銀行、ジャパンネット銀行、イーバンク銀行、新生銀行の全行が、ログインスクリーンをポップアップで表示して、アドレスバーとステータスバーを隠す仕様でした
こう言った問題点は、欧米でのフィッシング詐欺を背景に、2004年末にはログインスクリーンでは表示するように仕様を変更 [takagi-hiromitsu.jp]されています。しかし、現実には仕様が変更されているのはログインスクリーンのみで、その他の画面では仕様が変更されていない場合があります
例えば、イーコマースサイトや証券会社などが、銀行と提携して資金決済サービス(例えば東京三菱銀行の東京三菱ダイレクト [btm.co.jp]など)を提供していますが、コマースサイトや証券会社、銀行によっては商品や資金移動の確定画面から、決済を行うために銀行のサイトに移動するときに、ポップアップでログインスクリーンを表示し、なおかつアドレスバーを隠す場合があります。いくつかのサイトと銀行で確認したところ、同じ銀行の決済サービスでもコマースサイトや証券会社によっては銀行の正式なサイトか確認できない場合がありました。また、ある証券会社では、普通のオンライバンキングではポップアップのログインスクリーンではない三井住友銀行が、決済サービス用のログインスクリーンではポップアップで開き、アドレスバーを非表示にするケースすらありました。言うまでもなく、こういった仕様はサイトを確認する手段を奪い、フィッシング詐欺の手段であるなりすましを行う余地になります
そもそも、ポップアップウィンドウでログインスクリーンを開くのは、余り必要性がないケースが多いと思います。ユーザーが戻るボタンを押すことを回避など理由は様々なものがあると思いますが、ポップアップウィンドウが最も大量に開く最悪なケースであるソニー銀行の場合、ログインスクリーンからメニュー画面が表示されるまで最悪4回ポップアップウィンドウが表示され、ログアウトの確認表示にもポップアップを使用するなど、セキュリティ上のリスクを発生させるだけでなく、ユーザーに操作上の苦痛を強いるという点においては操作性を低下させる要因になっていると思います
第三に、3)の十分なパスワードを用意するというところですが、1)または2)の方法、トロイの木馬などでIDとパスワードが窃取された場合でも、現金の移動などを伴うサービスにおいて一定の安全性を確保できるか、という問題です
多くの銀行が、インターネットバンキングにおいてはα)口座番号とは別のIDと、パスワードを用意し、β)資金移動に伴うサービスなど重要な取引には別の確認用パスワードを用意する、といった対策を行っています。まず、α)の観点から見ると、ログインIDとして口座番号と同じIDを使っている銀行は、大手銀行では存在しませんが、ネット銀行では全行が口座番号をIDとして使用する方法を取っています。口座番号は、名前と同じように決済のために相手に通知するもので、かつ店番号(3桁)と口座番号(7桁)は固定の数字ですから、第三者がなりすましてパスワードをアタックする危険性は、IDに口座番号を使用するだけで高くなると思います
また、この中でも同じ勘定系パッケージを使用してるソニー銀行とジャパンネット銀行は、パスワードが8桁までしか設定できないという問題があります。JNBは、パスワードに数字を混ぜなければパスワードとして有効にならないので、ある程度の強度は確保できると思いますが、それでも8桁までというのはパスワードとしての強度に問題があると思います
一方で、東京三菱銀行と住友信託銀行はログイン時にIDとパスワードの他に、カスタマーカードに記載されたランダムな文字列を入力する必要があります
次にβ)の点ですが、すべての銀行で資金移動や決済などにログイン暗証とは別の暗証番号の入力が必要になっています。この代に暗証番号には三方式あって、4桁から6桁の固定暗証番号を入力する方式と、自由に設定した第二暗証番号、カスタマカードに記載された6から最大25個の暗証番号のうちランダムに指定される複数の番号を入力する方式です
いずれもキーロガーなどに対する脆弱性が存在し、特に固定暗証番号と自由暗証番号を利用したタイプの場合、定期的な暗証番号の変更が最も効果的であると思います。しかしながら、一般的に安全性が高いと思われているカスタマーカードに記載されたランダムな暗証番号の入力には極めて問題点が多いといえます
まず、カスタマーカードに直接暗証番号が記載されているために、そもそもこれは暗証番号とはいえないのではないかという問題です。カスタマカードが物理的に盗まれてしまえばおしまいですし、そもそもカードの暗証番号欄をコピーして元に戻しておけば番号が盗まれたことにも気づきません。第二に、いくらランダムな数字であっても、カスタマーカードに有効期限が設定されていないので、キーロガー対策にはなっていないという点です。特にみずほ銀行の場合だと第二暗証番号は固定6桁で、ランダムに入力要求される場合はテレホンバンキングで1桁づつ入力するだけで、インターネットバンキングでは6桁すべてを入力する方式なので、ランダム入力の意味は全くありません
こういった意味で有効期限が設定されていないカスタマカードのランダムな第二暗証番号には根本的な脆弱性が存在しますが、顧客がセキュリティリスクを最小限に図ろうとカスタマカードの更新を希望する場合でも銀行が有効な対策を取っていない場合が多いです。調べた限りでは、三井住友銀行は無料でカスタマーカードの再発行を行っていますが、東京三菱銀行とみずほ銀行は問い合わせた限りでは、カスタマカードの再発行は原則として応じないか、再発行手数料を徴収するという対応になっています
さらに、カスタマーカードの安全性に問題があるのは付属のサービスでカスタマーカードの安全性に顧客の注意を払わせないようなサービスを提供している場合すらあります。この最悪な事例は、東京三菱銀行で、アカウントアグリケーションサービス [btm.co.jp]と、ケータイアプリバンキング [btm.co.jp]の利用に際しては、カスタマーカードに記載されている、暗証番号25個を事前にすべて入力する必要があります。これは、携帯端末の紛失や、アカウントアグリケーションサービスのIDやパスワードの窃取によって、実質的に第二暗証番号によるセキュリティ対策を無意味にしているという点でも問題がありますし、第三者のなりすましによってカスタマーカードの第二暗証番号をすべて窃取されるリスクを高めているという意味で二重に問題があると思います