みずほ銀行オンラインバンキングサービスの何とも微妙なセキュリティ設定 139
仕様が色々と微妙 部門より
みずほ銀行が提供している「みずほダイレクト」というオンラインバンキングサービスがあるのだが、このオンラインバンキングのログイン画面のセキュリティ設定が何とも微妙なものになっているようだ。
あるAnonymous Coward 曰く、
みずほダイレクトのログイン画面では、「普段と環境が異なる」と判定された場合に合い言葉を入力する画面が表示されるのだが、ここに「このパソコンを登録しません」というチェックボックスがある(みずほダイレクトのヘルプページ)。このチェックボックス、デフォルトではOffになっているのだが、この状態でログインを行うと、使用したPCが「普段利用するパソコン」として登録され、次回からは合言葉確認画面をパスできるようになる。
そして、この「普段利用するパソコン」の識別は、Cookie等を利用するのではなく、なんとアクセスしてきたPCのOSとIPアドレスをデータベースに登録し、その情報を用いているそうだ。つまり、たとえば出先のPCでオンラインバンキングを利用したときに、ついうっかり「このパソコンを登録しません」チェックボックスをOffにしたまま、「次へ」ボタンを押してしまうと、共用PCで2つの合言葉確認をしない環境が提供されてしまうのである。ログインには「お客様番号」と「ログインID」も必要なため、これだけでログインできる状態ではないものの、鍵3つのうち2つが失われてしまう状態になってしまう。
セキュリティ的には、デフォルトでは「このパソコンを登録しません」チェックボックスをOnにしておくか、もしくは「このパソコンを登録する」という文言に設定しておくのがよいかと思われるのだが、みずほ銀行の担当者に問い合わせたところ、「お客様からのご指摘は承った」「セキュリティと利便性を考慮するとしばらくは今のまま」という回答を得た。
つい、うっかりで共用PCを「登録してしまう」(つまり、3つの鍵のうち2つを無効>にしてしまう)ことより、登録したいPCを登録するときに「チェックを行う」という一手間を省く、という利便性をとったというのである。ああ、なんてこったい……
共用PC? (スコア:4, すばらしい洞察)
そもそも共用PCでオンラインバンキングサービスを使うなんて信じられない。
それはそうとして、真に通常利用する環境を改めて登録した際に、共用PCでうっかり登録した分は無効になるんじゃ?
Re:共用PC? (スコア:3, 参考になる)
全部で何件まで登録出来るかは試したことはありませんが、少なくとも3つ登録できることは確認しています。
Re:共用PC? (スコア:2)
OSの方はほとんどがXPかVISTAだし、
IPも固定IPでもない限り他人に割り当てられる可能性があり、
CATVなどローカルアドレスを配布するISPだと同一NAT内の人は同IP。
Re:共用PC? (スコア:1)
直前のレスにもありますが、常用PCであっても、常用IPアドレスとは限らないのが最大の問題ではないでしょうか。
持ち歩いている notePC なら、IPアドレスは接続場所によって異なり、
そのアドレスとOSだけを記録されると、やはりセキュリティ的にどうよ、ということになる。
MACアドレスが記録されるというのであれば、わからんでもないが。
東京三菱UFJの場合 (スコア:4, 興味深い)
東京三菱UFJ(の、旧東京三菱系)のオンラインバンキングだと、オンラインで振り込みなどをする場合に、セキュリティカードの数字を聞いてきます。
オンラインバンキングを申し込んだ時に送られてくるプラスチックのカードに、格子状に数字が書いてあり、確認画面で指示された座標(縦軸が数字、横軸がアイウエオとなっていて、「ア-3」みたいな形式)の数字を答える形です。
ところが、聞いてくるのが毎回ランダムなので、実はあまり意味がなかったりします。
というのは、1つの鍵(たとえば「ア-1」の数値)さえ知ってしまえば、あとはオンラインバンキングを使う時、何度かリロードして確認画面を出せば、一定確率で「ア-1」を聞いてきてしまうのです。
なので、キーになる数字は複数ありますが、実際には1個のときとさして強度が変わらなく、せっかくカード媒体でキーを発行しても、キーロガーなどに遭えば意味がないことになってしまうのです。(もちろん、1つの正解を入力するまではその場所固定で聞いてくるようにしても、長期間にわたってキーロガーで情報を読まれてしまったら何の意味もありませんが。)
形式から先に入ってしまい、細部に問題があるために実効性に疑問を感じるセキュリティ対策、というものが世の中、少なからずあるように思えて残念です。
Re:東京三菱UFJの場合 (スコア:3, すばらしい洞察)
入力したパスワードが何に対するものなのかを隠蔽する意味で、ある程度意味はあるんじゃないでしょうか。
何らかのロガーを使ってパスワードを盗もうとした場合、
入力側だけのログをとっても、そこで入力されたパスワードが、
ア-1のものなのか、ウ-3のものなのかわからないので、
画面のログも取る必要が出てきます。
Re:東京三菱UFJの場合 (スコア:1, 参考になる)
まさか。
成功失敗にかかわらず一度トライするまでは同じ番号を聞いてきますから、元コメントが言うようなリロードの繰り返しで特定の行列が出るまで待つのは不可能です。
当然トライに失敗すればロックアウトへのカウントが増えます。
Re:東京三菱UFJの場合 (スコア:3, 参考になる)
ウェブの問い合わせフォームから指摘したんですが,「貴重なご意見を賜り実にありがとうございました」の一言でスルーされてしまいました.
いつまであの仕様だったのかなあ.
Re:オフトピだけど (スコア:2, 興味深い)
完全に偏りがない場合、1万回の試行で1回以上成功する確率は1-0.9999^10000=63%程度ですね。100%にはなりません。
5万回近い試行でやっと99%を超える成功率になります。
> ただ、偏りがあるはずなので・・・・・。
暗証番号を1234に固定すれば、暗証番号ランダムより確率アップでしょうか。
Re:東京三菱UFJの場合 (スコア:3, すばらしい洞察)
ログイン時にいつも乱数表を入力させるのは、キーロガーに対する弱点になりますよ。
確率的にでも乱数表の強度を維持するなら、重要な操作に限るのは悪くない選択じゃないかな。
%% 残高見たいだけなのに付加的な認証は面倒なだけってのもある。
の
Re:東京三菱UFJの場合 (スコア:1)
そういえば、聞かなくなったのは東京三菱がUFJと統合したくらいからですよね...
UFJは前から聞いてこなかったのでしょうか。
東京三菱、三井住友、住信SBIに口座を持っていて
ネットバンキングを使っていますが、ログイン時に乱数表の数字を聞いてきたのは
かつての東京三菱銀行だけでした。
あとはログイン名とパスワードのみ。
Re:東京三菱UFJの場合 (スコア:1)
旧UFJですが契約番号の真ん中にハイフンが入っていて
昔は入力欄が二つに分れてたのがシステム統合後は一つになったくらいで
特に変わった気がしません。
(つまり乱数表の使用は昔から取引時のみです。)
乱数表そのままなので縦横ともに数字(つまり「1-3」形式)です。
この位置からこの方向に使ってくれって画像は旧三菱東京の人は別形式のが出るのか......。
新生銀行もログイン時に乱数表が必要 (スコア:1)
私は新生銀行も使っているのですが,ログイン時に乱数表が必要です.オンラインバンキングへのログインは口座番号,暗証番号,オンラインバンキング用パスワード,乱数表の4点が必要です.
屍体メモ [windy.cx]
>出先のPCでオンラインバンキングを利用した (スコア:4, すばらしい洞察)
Re:>出先のPCでオンラインバンキングを利用した (スコア:3, すばらしい洞察)
自分の口座がどうなっても良いと思えば、出先のPCでオンラインバンキングを利用して利便性を享受するのも自由ではないでしょうか。
セキュリティではなく、リスク管理の問題だと思います。
Re:それを言ったら (スコア:1)
悪人が口座を乗っ取ろうとしてアクセスしてきたときに、「通常ご利用いただいていないパソコンからアクセス」と判別して、普段以上に厳しい認証を要求するんだから、別に間違ってないんじゃないの?
ユーザインタフェースも問題では (スコア:4, すばらしい洞察)
チェックボックスに否定形の文言を使ってはいけない、という不文律に反しているからよろしくないのでは。
# 不文律、というのは主観ですけど。
これが
このパソコンを登録する
というチェックボックスだったら、誰も間違わないのではなかろうか。
今試しただけでも (スコア:2, 参考になる)
>アクセスしてきたPCのOSとIPアドレスをデータベースに登録し、その情報を用いている
だけではなく、少なくともUser-Agentが関わっていることは確実だと思うのですが、
Cookieを使っていないとかいうのはどこの情報なのでしょう。
IPを変えても合言葉不要で通ったという検証をされているレスもありましたし、
タレコミ自体の信憑性が微妙なような。
微妙なセキュリティ対策 (スコア:1)
気持ちは判らんでもないけど、セキュリティ対策としてどうよ、ってものタマに見かけますねぇ。
最近見つけたのだと某米系ネットバンキングの問い合わせのテキスト入力画面で、>, < あるいは SQL の断片的な文字列が使えません、って注意書きがあって... なんか脱力した。
%% 大きな傘を導入した副作用だろうけど
の
リロードしてフォームデータを再送信 (スコア:2, 興味深い)
私が使ってる某証券会社のサイトは、
ログアウトのボタンを押して「ログアウトしました」という画面がでても
そこからログイン後最初に表示される画面までブラウザの戻るボタンで戻って
リロードし「フォームデータを再送信する必要があります・・・」というポップアップの
OKボタンを押すとIDもパスワードも入力せずに再ログインできてしまいます。
セキュリティ上の都合なのか、ログイン後一定時間操作しなかったら自動でログアウトする仕様になっていますが
こんな穴があるんなら意味無いですね。
Re:合い言葉もおかしいんですよね (スコア:2)
このシステム、どうもバグがあるように感じます。
どう考えてもこれしか登録してないというのを入れても違うと言われてロックされました。しかも一度ロックされると電話で依頼しないと解除されません。営業時間外だったら翌営業日までは使えません。
まあ、みずほのネットバンクはサービス開始当初から今までずっとひどいままですよ。
[udon]
Re:合い言葉もおかしいんですよね (スコア:1, 参考になる)
そういった質問に答える系は、馬鹿正直に答えない方が宜しいのでは?
例えば
「好きな食べ物は?」に、本当に好きな食べ物「讃岐うどん」を合言葉にするより
脳内で(で有名な県は?)と補完して、「香川県」を合言葉にしたほうが
自分の記憶にも残るし、他人から推測もされにくいと思います。
Re:合い言葉もおかしいんですよね (スコア:3, おもしろおかしい)
>「好きな食べ物は?」に、本当に好きな食べ物「讃岐うどん」を合言葉にするより
たとえばこんな感じでしょうか?
問:「好きな食べ物は?」
回答例:「赤犬」「エロ本」「可愛い女の子」
いや、あくまで一例としての話ですよ?
鍵の重みは? (スコア:1, すばらしい洞察)
鍵3つのうち2つが失われるのは問題だろうけど、その失われた鍵というのがどれだけの重みのある鍵かというのも考慮に入れないと。
Re:鍵の重みは? (スコア:4, 参考になる)
話題にあるみずほの他、三菱東京UFJ(MUFG)のインターネットバンキング [bk.mufg.jp]を利用しています。MUFGでは合い言葉などの機能がなく、IDとパスワードでログインが完了します。それに比べると、みずほの方が(緩いとは言え)おまけの鍵を用意していると言えるかも知れません。
ちなみにどちらのネットバンキングサービスでも、ログインした時点で残高や明細チェックなどは出来てしまいます。振り込みなどお金が移動する処理の場合にはログインパスワードとは別の暗証番号(MUFGは乱数表、みずほは第2暗証番号かワンタイムパスワードトークンを選択)を打ち込む必要があります。これらはいずれもWeb上の体験操作で確認できます(MUFG [bk.mufg.jp]、みずほ [mizuhobank.co.jp])。
どちらの場合も、トークンなり乱数表を持ち歩くというのはあまりやりたくないことなので、基本的に自宅で利用してます。
Re:鍵の重みは? (スコア:2, おもしろおかしい)
MUFGだけど最初乱数表が送られてきた時は少しはセキュリティに気を使っているんだねと感心した。まぁワンタイムパスワードではないものの、乱数表が有効期限設定してあるから定期に更新すればそこそこ安全だろうと思った。
ところで期限が来てなんか手紙が着たらステッカーだった。「乱数表の有効期限の上に貼って隠してくれ」と。
感心して損したと思った。
Re:鍵の重みは? (スコア:1)
私もMUFGとみずほのネットバンキングを利用していますが、MUFGは段階的にセキュリティを向上してきたという印象です。
使い始めた頃はログイン時に乱数表を使って、ログインページをリロードするたびに違うマスの乱数の入力を求める、というヤバい仕様だったのも改めたし、今は取引実行時にしか乱数表を要求しないので、共用パソコンで残高確認する程度であれば、お金を盗まれる心配は(あまり)なくなりましたね。
みずほは割と長い間、ログインパスワードと取引実行時パスワードだけで済ませてきたのを、昨年あたりにやっとワンタイムパスワードトークンを使えるようにして、登録PCでないと合い言葉を使うようになりましたが、セキュリティ向上に力を入れているという印象はそれほどありませんね…。
しかし、MUFGの乱数表は、IDと乱数表の2つが明記されている重要な鍵なのでちょっと不安。
これらとログインパスワードがあれば送金でもなんでもやり放題だから。
ソースはどこにあるのでしょうか? (スコア:1, 興味深い)
半年くらい前に問合せをしたときに、
cookie を 削除する人は毎回 合言葉を入力するの形になるのは仕様であるとの
解答を頂いたのですが、仕様が変わったのでしょうか?
一応ヘルプにも
> cookie(クッキー)を削除したときなど、合言葉の入力が求められる場合があります。
> その際には、事前に登録された合言葉をご回答いただきます。
と あるのですが…
Re:ソースはどこにあるのでしょうか? (スコア:4, 興味深い)
1.イーモバイルで接続した後、みずほダイレクトにログイン(初回ログインだったので合言葉を聞かれる。常用環境として登録)
2.ログアウトした後回線を切り、再接続。前回と違うIPアドレスで接続されていることを確認。
3.再度みずほダイレクトログイン。合言葉は聞かれなかった。
4.回線は繋いだままmizuhobank関連のcookieを削除してログイン。合言葉は聞かれなかった。
5.再度回線切断→再接続。前回と違うIPアドレスで接続されていることを確認。
6.再度みずほダイレクトログイン。合言葉は聞かれなかった。
なんだかもっとわからなくなりました。
IPアドレスをキーにしていないであろうことは上記の検証から想像がつくのですが、cookie全削除しても合言葉聞かれないって……もしかしてIPアドレスではなくMACアドレスが記録されているのでしょうか。だとしたらこれ以上検証できないなあ。
Re:ソースはどこにあるのでしょうか? (スコア:3, 興味深い)
タレコミの「IPアドレスとOSで覚える」という話と、親コメントの「Cookieで覚える」という話 [srad.jp]を併せると、
「Cookieが無く、かつ、IPアドレス・OSペアの情報も記録されていない」場合には、合い言葉を聞いてくるんじゃないでしょうか。
そうだとすると、
> 3.再度みずほダイレクトログイン。合言葉は聞かれなかった。
Cookieを覚えているので聞いてこない。
> 4.回線は繋いだままmizuhobank関連のcookieを削除してログイン。合言葉は聞かれなかった。
3のアクセスで新たに「IPアドレス・OS」を覚えたので、聞いてこない。ここでCookie発行
> 6.再度みずほダイレクトログイン。合言葉は聞かれなかった。
4で出されたCookieが覚えているので聞いてこない。
ってことじゃないですかね。
「切断してCookieを削除してから再接続・ログイン」で、再度合い言葉を聞いてくることを確認できれば、
私の仮定はアタリってことになるんじゃないかと思います。
Re:ソースはどこにあるのでしょうか? (スコア:1, 参考になる)
Macアドレスは基本的にルータを超えられませんよ。それができるならそもそもIPアドレスは不要でしょ。
Re:ソースはどこにあるのでしょうか? (スコア:1, 参考になる)
それはそうと、ブラウザを変えて試してみるというのは?
User-Agent だけが登録されてるとか。
Re:ソースはどこにあるのでしょうか? (スコア:2)
普通、自動設定にした場合にはMACアドレスが使われるから、MacOSだけの問題点ではないですよね。そもそもIPv6使っている時点で、特定しやすいわけですが。:-)
HIRATA Yasuyuki
Re:ソースはどこにあるのでしょうか? (スコア:2)
書き忘れ。FreeBSDやMacOSは、sysctl net.inet6.ip6.use_tempaddr=1 すればランダムなアドレスに設定できます。
HIRATA Yasuyuki
Re:ソースはどこにあるのでしょうか? (スコア:1)
3つの内2つが失われる? (スコア:1)
次に合言葉を2回入力して、更にパスワードを入力するので、最初が4回。
登録済みになった場合は合言葉の入力がなくなるので2回の入力になりますよ。
Re:3つの内2つが失われる? (スコア:2, おもしろおかしい)
> 合言葉を2回入力して、更にパスワードを入力
「合い言葉」と「パスワード [goo.ne.jp]」?
Re:3つの内2つが失われる? (スコア:1)
OSとIPアドレスは悪くない着目点 (スコア:1, すばらしい洞察)
もともと標準的なレベルの認証があって,その上で,
場合によっては不正防止に役立つかもしれない認証も加わっている,
という形式の,付加的なサービスですよね。
様子がおかしい客に特別な注意を払うのは窓口でも同じでしょうね。
「俺の何が不審だ,服装か?じゃあ身なりさえ良ければ誰でもいいのか?」
と窓口のお嬢さんに絡むのは不合理に思います。
OSとIPアドレスで疑ってみるという方針は,悪くないと思います。
不本意にも疑われて少し気分を害してしまったお客さんにとっても,
疑われてしまった理由に自分で気づきやすいでしょうから。
マネックス証券 (スコア:1, 参考になる)
マネックス証券の場合、PCからはIDとパスワードでログインなんだけど、携帯電話からだと口座番号と暗証番号(数字4桁)でログインできる(ただし、暗証番号を一定回数間違えるとアカウントがロックされる)。
これって、ランダムに口座番号と暗証番号を生成して入力し続けると、結構低くない確率でログインできてしまうのではないかな?ちょっと怖い
自分は古いタイプの人間 (スコア:1)
「ネットバンクをご利用になれば、通帳はいらなくなりますよ(^^)
お金の振込み、残高確認などがインターネットを利用してご自宅のPCから出来ます。
あと、クレジット機能をつけて頂きますと(略」
なんて言われたが、
「ネットバンクはいりません。クレジット機能もいりません。通帳とATM用のキャッシュカードだけで結構です。
ん?いえ、キャッシュカードもEdyやSuicaの機能はいりません。必要最低限で結構です」
とお断りさせて頂きました。
IT関係の業界にいると「バグのないプログラムは存在しない」という認識があるので、
いまいちこの手のシステムは信用出来ない自分がいます(デバッグの不可能なプログラムもまた存在しないわけだけど)。
本を読むにも、電子書籍はNG。時計はアナログ(機械式がベスト)、車はマニュアル。
あれ・・時代から取り残されてるorz
そのくせ、プログラムに依存した生活を送ったりと矛盾してますがね・・・。
Re:自分は古いタイプの人間 (スコア:2, すばらしい洞察)
>IT関係の業界にいると「バグのないプログラムは存在しない」という認識があるので、
>いまいちこの手のシステムは信用出来ない自分がいます(デバッグの不可能なプログラムもまた存在しないわけだけど)。
ATMも中はWindowsだったりするし、通帳をもっていっても、
照合のためには陰影呼び出しシステムを使っています。
もはや、システムに頼らないバンキングなんてものは日本には存在しない
ので(スイスのプライベートバンクにはあるかも)、結局は
個別システムの出来を想定しながら使っていくしかないと思います。
Re:自分は古いタイプの人間 (スコア:1, 興味深い)
>時計はアナログ(機械式がベスト)
いや……機械式は利点が無いんでちょっとどうかなあと。
精度は悪い、歩度が経時変化する、姿勢で歩度が違う、巻きの残量によってトルクが違う、ある程度精度を維持しようと思うと季節ごとに再調整が要る、2-3年に一度ぐらいはオーバーホール、着磁に注意しないといけない、ゼンマイは切れる、衝撃に弱いetc.
他の例と比べて、自己満足以外の実用上の利点が全くないんじゃ……
#ってのをアンティーク懐中使ってる人間が言っても説得力がありませんが。
#150年ぐらい前のでもこまめにメンテすれば実用的な精度は出るんですよ!(日差2-3分とか)
Re:自分は古いタイプの人間 (スコア:1)
ところでセイコーのスプリングドライブは機械式ですか?
Re:自分は古いタイプの人間(オフトピック) (スコア:2)
動力が機械式なだけでエスケープメントというか調速はクォーツだからなぁ。
100年後に直せるかというと難しいんじゃないでしょうか。
40年前のアンティークってほどじゃないSEIKO 6138使ってますけど実用的ですよ。そもそも僕の生活には秒単位で正確な時刻表示を必要とする場面がまずありません。むしろ時間を計れる機能(クロノグラフ)の方が大事です。
[udon]
Re:自分は古いタイプの人間 (スコア:1, おもしろおかしい)
> 通帳とATM用のキャッシュカードだけで結構です。必要最低限で結構です
新しいもの好きですよ。「自分は古いタイプの人間」を自任するなら
くらい言えないとおかしい。マジで。Edy,Suicaの利便性は拒否してもキャッシュカードの利便性だけはしっかり確保って全然古いタイプじゃない。
> あれ・・時代から取り残されてるorz
当然部屋に黒電話のみで、携帯電話なんて「何それ?うまいの?」状態なんですよね。
Re:OSとIPアドレス?? (スコア:1, すばらしい洞察)
Re:OSとIPアドレス?? (スコア:1, すばらしい洞察)
>迂闊にOSをアップデートできません
OSが変われば普段利用しないパソコンとして認識されて合言葉を聞いてくるはずだから、迂闊にOSをアップデートできないという結論はおかしいと思います。IPアドレスについても同様。
Re:なんてけしからんシステムだ!! (スコア:1)
キンタマ袋がない人はどうするんですか?
-------- tear straight across --------
Re:なんてけしからんシステムだ!! (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --