アカウント名:
パスワード:
2015年8月9日以降の新規契約者から必須となる「ワンタイムパスワード」(物理トークンまたはアプリ)は、ジャパンネット銀行 [japannetbank.co.jp]が約10年前に導入したものと同様であって、「MITB」も「フィッシング詐欺」も防げない脆弱なもの です。ワンタイムパスワードでも被害 不正送金の新ウイルス [asahi.com]という記事を見れば分かるように、このような脆弱なワンタイムパスワードはマルウェアによる振込先・金額の改ざんや・フィッシング(正規サイトへの通信中継を行うフィッシング詐欺)による不正送金を防ぐことができないことから、不正送金被害が多発しています。
「平成28年度前半目処で、振込等の資金移動取引において、すべてのお客さま
MUFGから配られている物理トークンはトランザクション認証対応のやつ(そろらく VASCO DIGIPAS 275)で、トランザクション認証に対応させることを感じさせるかのごとく(1)と(3)の色が違うよ。そのうち導入するんだろ。まあ最初からやっとけよと言うのは同意するけど。
MUFGから配られている物理トークンはトランザクション認証対応のやつ(そろらく VASCO DIGIPAS 275)で、 トランザクション認証に対応させることを感じさせるかのごとく(1)と(3)の色が違うよ。 そのうち導入するんだろ。
まずは、トランザクション認証無しのワンタイムパスワードを導入(トークンだけはトランザクション認証対応のもの)してみて、それから不正送金被害がより拡大したら、サーバー側でトランザクション認証に対応というスケジュールでしょうか?
ゆうちょ銀行 [japanpost.jp] や 三井住友銀行 [smbc.co.jp] も、同様にトークンだけはトランザクション認証対応ですが、一向にトランザクション認証が導入される気配がありませんが……。不正送金被害が更に拡大し、補填金額で経営を圧迫するぐらいになるまで放置し続けるつもりですかね。
まあ最初からやっとけよと言うのは同意するけど。
同じトークンを利用しながら途中からトランザクション認証に切り替えると、トークンの利用方法が変わることになって顧客が混乱し、本来振込先口座番号以外を入力してはならないトークンに対して、「ワンタイムパスワードカードに認証コード 1234567 と入力して下さい」(実際には、詐欺師の口座番号)と指示するといったマルウェアの攻撃に顧客が騙されやすくなりそうです。従って、最初から導入すべきですね。
今回のは全ユーザーに必須となるだけで、結構前から物理トークンは導入されてるんですよ。うちにもある。
だから、どうせ導入するなら最初からとかいうのはもうすでに遅くて、すでに稼働してるシステムやユーザがあるからそれに合わせただけでしょう。
そのうち刷新されるかもしれないけれど、それを待つより早く導入した方が被害は小さいという判断でしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
今更、10年前の脆弱な 「ワンタイムパスワード」 方式とは尋常ではない (スコア:5, 参考になる)
2015年8月9日以降の新規契約者から必須となる「ワンタイムパスワード」(物理トークンまたはアプリ)は、ジャパンネット銀行 [japannetbank.co.jp]が約10年前に導入したものと同様であって、「MITB」も「フィッシング詐欺」も防げない脆弱なもの です。ワンタイムパスワードでも被害 不正送金の新ウイルス [asahi.com]という記事を見れば分かるように、このような脆弱なワンタイムパスワードはマルウェアによる振込先・金額の改ざんや・フィッシング(正規サイトへの通信中継を行うフィッシング詐欺)による不正送金を防ぐことができないことから、不正送金被害が多発しています。
「平成28年度前半目処で、振込等の資金移動取引において、すべてのお客さま
Re: (スコア:1)
MUFGから配られている物理トークンはトランザクション認証対応のやつ(そろらく VASCO DIGIPAS 275)で、
トランザクション認証に対応させることを感じさせるかのごとく(1)と(3)の色が違うよ。
そのうち導入するんだろ。まあ最初からやっとけよと言うのは同意するけど。
Re:今更、10年前の脆弱な 「ワンタイムパスワード」 方式とは尋常ではない (スコア:3)
まずは、トランザクション認証無しのワンタイムパスワードを導入(トークンだけはトランザクション認証対応のもの)してみて、それから不正送金被害がより拡大したら、サーバー側でトランザクション認証に対応というスケジュールでしょうか?
ゆうちょ銀行 [japanpost.jp] や 三井住友銀行 [smbc.co.jp] も、同様にトークンだけはトランザクション認証対応ですが、一向にトランザクション認証が導入される気配がありませんが……。不正送金被害が更に拡大し、補填金額で経営を圧迫するぐらいになるまで放置し続けるつもりですかね。
同じトークンを利用しながら途中からトランザクション認証に切り替えると、トークンの利用方法が変わることになって顧客が混乱し、本来振込先口座番号以外を入力してはならないトークンに対して、「ワンタイムパスワードカードに認証コード 1234567 と入力して下さい」(実際には、詐欺師の口座番号)と指示するといったマルウェアの攻撃に顧客が騙されやすくなりそうです。従って、最初から導入すべきですね。
Re: (スコア:0)
今回のは全ユーザーに必須となるだけで、結構前から物理トークンは導入されてるんですよ。うちにもある。
だから、どうせ導入するなら最初からとかいうのはもうすでに遅くて、すでに稼働してるシステムやユーザがあるからそれに合わせただけでしょう。
そのうち刷新されるかもしれないけれど、それを待つより早く導入した方が被害は小さいという判断でしょう。