パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱東京UFJ銀行、ネットバンキングで乱数表を廃止。ワンタイムパスワード必須に」記事へのコメント

  •  2015年8月9日以降の新規契約者から必須となる「ワンタイムパスワード」(物理トークンまたはアプリ)は、ジャパンネット銀行 [japannetbank.co.jp]が約10年前に導入したものと同様であって、「MITB」も「フィッシング詐欺」も防げない脆弱なもの です。ワンタイムパスワードでも被害 不正送金の新ウイルス [asahi.com]という記事を見れば分かるように、このような脆弱なワンタイムパスワードはマルウェアによる振込先・金額の改ざんや・フィッシング(正規サイトへの通信中継を行うフィッシング詐欺)による不正送金を防ぐことができないことから、不正送金被害が多発しています。

     「平成28年度前半目処で、振込等の資金移動取引において、すべてのお客さまにワンタイムパスワード(アプリ、またはカード)の利用を必須とさせていただく予定」とのことなので、トークンの配布コスト・顧客へのサポートコストなど多額の費用がかかるはずですが、それならば何故 みずほ銀行のようにMITBも防げるまともなトランザクション認証 [security.srad.jp] を導入しなかったのか大変疑問です。

     物理トークンの費用などの導入コストは、トランザクション認証であっても大差が無いと思われますし、顧客側の手間も物理トークン(電卓型)に振込先口座番号を入力する程度のものであって、みずほ銀行のように2回目以降の同一口座への振込の際にトランザクション認証を省略できる機能(振込先口座登録)を設ければ、殆ど負担にならないはず。

     今現在、まともなトランザクション認証を導入している邦銀は、私の知る限り みずほ銀行 [security.srad.jp]、住信SBIネット銀行 [netbk.co.jp]、じぶん銀行 [jibunbank.co.jp] だけで、そのうち物理トークンでトランザクション認証を利用できるのは「みずほ銀行」だけです。

    • MUFGから配られている物理トークンはトランザクション認証対応のやつ(そろらく VASCO DIGIPAS 275)で、
      トランザクション認証に対応させることを感じさせるかのごとく(1)と(3)の色が違うよ。
      そのうち導入するんだろ。まあ最初からやっとけよと言うのは同意するけど。

      親コメント
      • MUFGから配られている物理トークンはトランザクション認証対応のやつ(そろらく VASCO DIGIPAS 275)で、
        トランザクション認証に対応させることを感じさせるかのごとく(1)と(3)の色が違うよ。
        そのうち導入するんだろ。

        まずは、トランザクション認証無しのワンタイムパスワードを導入(トークンだけはトランザクション認証対応のもの)してみて、それから不正送金被害がより拡大したら、サーバー側でトランザクション認証に対応というスケジュールでしょうか?

        ゆうちょ銀行 [japanpost.jp] や 三井住友銀行 [smbc.co.jp] も、同様にトークンだけはトランザクション認証対応ですが、一向にトランザクション認証が導入される気配がありませんが……。不正送金被害が更に拡大し、補填金額で経営を圧迫するぐらいになるまで放置し続けるつもりですかね。

        まあ最初からやっとけよと言うのは同意するけど。

        同じトークンを利用しながら途中からトランザクション認証に切り替えると、トークンの利用方法が変わることになって顧客が混乱し、本来振込先口座番号以外を入力してはならないトークンに対して、「ワンタイムパスワードカードに認証コード 1234567 と入力して下さい」(実際には、詐欺師の口座番号)と指示するといったマルウェアの攻撃に顧客が騙されやすくなりそうです。従って、最初から導入すべきですね。

        親コメント
        • by Anonymous Coward

          今回のは全ユーザーに必須となるだけで、結構前から物理トークンは導入されてるんですよ。うちにもある。

          だから、どうせ導入するなら最初からとかいうのはもうすでに遅くて、すでに稼働してるシステムやユーザがあるからそれに合わせただけでしょう。

          そのうち刷新されるかもしれないけれど、それを待つより早く導入した方が被害は小さいという判断でしょう。

    • 無論詐欺の潮流という意味でMITB/フィッシングでの自前振り込みには対応できないですが...、もろもろぬすまれる系だってまだまだあるので、いままでの二要素カードそのもよりだいぶ良くなるとは思うんですが。

      >物理トークンの費用などの導入コスト
      サービス側の処理実装コストという意味で大分ちがうので、さすがにちょっとそれは雑な気がします
      それでもまあ、二度手間になるから、というのもあるので、やっとけとは思いますが

      # そりゃ最初から完璧に防げればそれにこしたことないけど、ね...
      # まあ早急にトランザクションに対応してほしいとは思います

      --
      M-FalconSky (暑いか寒い)
      親コメント
    • by Anonymous Coward

      > 物理トークンの費用などの導入コストは、トランザクション認証であっても大差が無いと思われますし、
      > 顧客側の手間も物理トークン(電卓型)に振込先口座番号を入力する程度のものであって、みずほ銀行のように
      > 2回目以降の同一口座への振込の際にトランザクション認証を省略できる機能(振込先口座登録)を設ければ、殆ど負担にならないはず。
      部外者感を感じました。「日本の技術の粋を結集すれば~」とかの。

      • by Anonymous Coward

        後から切り替えると使用方法の周知コストが無駄に積み上がるのも、
        実際国内で導入してる銀行が既にあるという事実は部外者にも明らか。

        部外者にも明らかな事を述べてるんだからなんの問題もないね。

        元コメの人はアナーキズムというか既存の権威や法律の問題に対する憤りが強そうな人だけど、
        言ってる内容は特に間違ってないだろう。問題があるものを問題があると言っているだけ。

      • by Anonymous Coward

        批判だけして対案も出さないクズは帰ってどうぞ

    • by Anonymous Coward

      トランザクション認証の実績件数がさほど積み上がっていないとかその手の理由かなぁ…
      だとしたらスマホアプリなんぞもっての外なんだけど、
      「方式」しか考慮しないルールなんてのはよくある話。

      あとはシステム販売側が吹っ掛けてきてるとかもあるだろう。

      # だとしても、既存の暗証番号よりマシってだけで妥協するところじゃないわな。

物事のやり方は一つではない -- Perlな人

処理中...