アカウント名:
パスワード:
スパイウェアが入ってるならその時点でもうアウトだと思うんですが。 乗っ取ったマシン上ではぶっちゃけ何でもできるわけだから、例えば、
ユーザが銀行サイトにログインし、振込みなどの操作を行うのを待ち構えて、その操作をした瞬間に便乗して(=正規の手順でログインした状態で)自分の口座への送金処理をバックグラウンドでやる
一定のレベルまで認証などを強化することは、カジュアルなアタックを防ぐという意味から当然必要ですが、そこから先はむしろスパイウェアとかフィッシングサイトに引っかからないよう啓蒙する、というレベルの話になってくるのではないかと。
その攻撃、1回目は成功する可能性がありますが、2回目以降はジャパンネット銀行などのSecurID採用サイトでは比較的困難ですね。
技術に疎い人はそう思っちゃうんだろうけど、ぜんぜん困難じゃない。中継して一部を書き換えるだけ。 詳しくは以下をどうぞ。フィッシングの例で書かれてますが、スパイウェアも同じこと。
対策にならないフィッシング対策がまたもや無批判に宣伝されている [takagi-hiromitsu.jp]
金さえ払えば大手都銀で唯一セキュリティをまともに出来る所なんだから大目に見てあげないと。 他はメール通知ができなかったり、ワンタイムパスワード使えなかったり。
同じSMBC系のジャパンネット銀行はデフォルトでトークンも配っていて、メール通知もあるけど口座維持手数料があるし。
スパイウェアに電子証明書を抜かれないかというのも心配です。 さらにSecurIDトークンの併用が出来るようになると良いのですが。
マルウェアに侵された状態を前提とするなら、SecurIDを用いても無駄ですよ。
どうも技術的に疎い人は、「情報盗む」という概念は理解できるものの、乗っ取られるという概念は理解しにくいようですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
各銀行の駄目出しをしてみる (スコア:5, 興味深い)
彼曰く”僕は怖いから(ネットバンキング利用可能な)登録しませんよ。”と。
そこらへんにすべてが集約されているのだと思います。
以前のパスワードひとつの新生銀行などはやられ放題でしたし、乱数表をつかっている銀行も大したことない
と思います。
特に住友信託銀行、ひどいですね。乱数表からの数字がログインや試行のたびに要求されるのですが、要求
されるのは乱数表10個のうちの2個。
しかも乱数は10個しかないうちの小さい順に2つという組み合わせなので、スパイウェアが入ったPCなら
あっというまに乱数全部ばれてしまいます。っていうか、ログインの時点では参照系しか必要ないから貴重
な乱数つかわせちゃいかんだろ。設計したやつ出てきて謝れ、という感じですかね。
口座番号とユーザーIDが違うところだけは評価しますが、その他の部分は最低です。
三井住友銀行もひどいですね。SecureIDがオプションサービスで月100円とか、入出金のメールサービスが
月100円ってセキュリティの根本的な部分ですのでそこで商売してどうするの?と思います。
ここも基本は乱数表で16個のマスからひとつ選ぶ形ですね。出来るだけ、無駄な乱数の消費が無いよう配慮
されていますが、所詮は16個の乱数表の世界です。知れています。SecureIDがオプションにある程ですので
確信犯なんでしょうね。
海外の銀行の話になりますが、SecureIDか、ワンタイムパスワードが主流です。
SecureIDもワンタイムパスワードの一種ではありますが、ほかに原始的なやり方として、”紙による”
ワンタイムパスワードってのがあるんですね。A4の紙にたくさんパスワードが印刷されていて、パスワード
ごとに小片に切れる形です。無くなりそうになれば次の紙を請求する感じですね。
よほど原理的に安全だし、シンプルなのかな、と思います。
Re:各銀行の駄目出しをしてみる (スコア:2, すばらしい洞察)
新生銀行も最近乱数表を採用しましたけど、ログイン時に要求するタイプです。
あとログイン時に口座の暗証番号も入れるようになってるんですが、これも疑問です。
なんというか、たくさん入力させれば強度が増すだろうという発想が
間違ってる気がします。
Re:各銀行の駄目出しをしてみる (スコア:1)
>あっというまに乱数全部ばれてしまいます。
スパイウェアが入ってるならその時点でもうアウトだと思うんですが。
なんて攻撃がありえます。これをやられたらどれだけ認証手段を強化しても無意味。乗っ取ったマシン上ではぶっちゃけ何でもできるわけだから、例えば、
一定のレベルまで認証などを強化することは、カジュアルなアタックを防ぐという意味から当然必要ですが、そこから先はむしろスパイウェアとかフィッシングサイトに引っかからないよう啓蒙する、というレベルの話になってくるのではないかと。
Re: (スコア:0)
サイトでは比較的困難ですね。そのために、他にもメール通知や一日あたりの御利用限度額、未登録先
への御利用限度額設定などのより多層の防護があるわけです。
ジャパンネット銀行は日本のネット銀行の中では比較的進んでいる方かと思います。
もちろん、ユーザーへの啓蒙は必要です。しかし、それだけでは精神論に過ぎませんね。
電気機器の防水処理の設計を行う際、”機器の内側に水を一滴も入れない”という思想と”万一多少
入っ
Re: (スコア:0)
技術に疎い人はそう思っちゃうんだろうけど、ぜんぜん困難じゃない。中継して一部を書き換えるだけ。
詳しくは以下をどうぞ。フィッシングの例で書かれてますが、スパイウェアも同じこと。
対策にならないフィッシング対策がまたもや無批判に宣伝されている [takagi-hiromitsu.jp]
Re: (スコア:0)
あなたの示すURLにジャパンネット銀行の件が書いてありましたか?
SecurIDの脆弱性が書いてありましたか....。
1度目が成功しても2度目が成功しないという意味を把握できていますか?
Man In the Middle Attackの成功の可能性を否定していないんですよ。素人の揚げ足取りは困ります(笑)。
オフトピだが・・・ (スコア:0)
入れて欲しくないのか!?
手数料欲しいほど手間かかるんなら入金なんかしてやらねーよ。
まあ、そういう銀行だって言いたかっただけ。
ゴメン。
Re: (スコア:0)
Re: (スコア:0)
処理コストを考えると、時間外には入金して欲しくないのでは?
ATMが24時間使えるなんて国は日本くらいですからねぇ。
Re:オフトピだが・・・ (スコア:1)
硬貨をジャラジャラ入れてもカウントするし。
=-=-= The Inelegance(無粋な人) =-=-=
Re:オフトピだが・・・ (スコア:1)
一体何を根拠に? 日本のATMの24時間化はアメリカよりだいぶ遅かったんですよ?
アメリカ 銀行 -地球の歩き方「成功する留学」 [studyabroad.co.jp]
まあ、トラブってるのか、昼日中に使用中止になってるのも珍しくはありませんでしたが。
-- う~ん、バッドノウハウ?
Re: (スコア:0)
金さえ払えば大手都銀で唯一セキュリティをまともに出来る所なんだから大目に見てあげないと。
他はメール通知ができなかったり、ワンタイムパスワード使えなかったり。
同じSMBC系のジャパンネット銀行はデフォルトでトークンも配っていて、メール通知もあるけど口座維持手数料があるし。
Re:各銀行の駄目出しをしてみる (スコア:1)
ヤフオクやってる人ならヤフオクの口座をJNBにするのが一番楽ですね。
morikun
Re: (スコア:0)
Re: (スコア:0)
銀行にもよるだろうけど、口座維持手数料引き落とし日の前日に口座を空にして、引き落とし日を越えたら入れ直す、で対応可能。
Re: (スコア:0)
Re: (スコア:0)
最強ではないでしょうか。野村證券のサイトにログインすることで、関連会社の
野村信託銀行のオンラインサービスも利用できます。
もちろんブラウザの電子証明書周りに脆弱性があれば即死です、念のため。
スパイウェアに電子証明書を抜かれないかというのも心配です。
さらにSecurIDトークンの併用が出来るようになると良いのですが。
Re: (スコア:0)
マルウェアに侵された状態を前提とするなら、SecurIDを用いても無駄ですよ。
どうも技術的に疎い人は、「情報盗む」という概念は理解できるものの、乗っ取られるという概念は理解しにくいようですね。
Re: (スコア:0)
>> そこらへんにすべてが集約されているのだと思います。
どの職の方も思っている(と私は思っている)ことで
”僕は怖いから自分の会社で運営されているサービスは利用(登録)しませんよ”
”自社製品は製造工程を知っているから買いませんよ”
と結局同じなんですかね.
お金に絡むか否かの違いはあるけれど(←これが一番大事な点だから問題?)
## ACで