パスワードを忘れた? アカウント作成
120209 story
セキュリティ

みずほ銀行オンラインバンキングサービスの何とも微妙なセキュリティ設定 139

ストーリー by hylom
仕様が色々と微妙 部門より

みずほ銀行が提供している「みずほダイレクト」というオンラインバンキングサービスがあるのだが、このオンラインバンキングのログイン画面のセキュリティ設定が何とも微妙なものになっているようだ。

あるAnonymous Coward 曰く、

みずほダイレクトのログイン画面では、「普段と環境が異なる」と判定された場合に合い言葉を入力する画面が表示されるのだが、ここに「このパソコンを登録しません」というチェックボックスがある(みずほダイレクトのヘルプページ)。このチェックボックス、デフォルトではOffになっているのだが、この状態でログインを行うと、使用したPCが「普段利用するパソコン」として登録され、次回からは合言葉確認画面をパスできるようになる。

そして、この「普段利用するパソコン」の識別は、Cookie等を利用するのではなく、なんとアクセスしてきたPCのOSとIPアドレスをデータベースに登録し、その情報を用いているそうだ。つまり、たとえば出先のPCでオンラインバンキングを利用したときに、ついうっかり「このパソコンを登録しません」チェックボックスをOffにしたまま、「次へ」ボタンを押してしまうと、共用PCで2つの合言葉確認をしない環境が提供されてしまうのである。ログインには「お客様番号」と「ログインID」も必要なため、これだけでログインできる状態ではないものの、鍵3つのうち2つが失われてしまう状態になってしまう。

セキュリティ的には、デフォルトでは「このパソコンを登録しません」チェックボックスをOnにしておくか、もしくは「このパソコンを登録する」という文言に設定しておくのがよいかと思われるのだが、みずほ銀行の担当者に問い合わせたところ、「お客様からのご指摘は承った」「セキュリティと利便性を考慮するとしばらくは今のまま」という回答を得た。

つい、うっかりで共用PCを「登録してしまう」(つまり、3つの鍵のうち2つを無効>にしてしまう)ことより、登録したいPCを登録するときに「チェックを行う」という一手間を省く、という利便性をとったというのである。ああ、なんてこったい……

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 共用PC? (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2009年07月14日 16時41分 (#1604695)

    そもそも共用PCでオンラインバンキングサービスを使うなんて信じられない。

    それはそうとして、真に通常利用する環境を改めて登録した際に、共用PCでうっかり登録した分は無効になるんじゃ?

    • Re:共用PC? (スコア:3, 参考になる)

      by kaguyaboshi (31023) on 2009年07月14日 18時33分 (#1604761) 日記
      通常利用する環境は複数登録出来るので、共用PCでうっかり登録しても無効にはならないと思います。
      全部で何件まで登録出来るかは試したことはありませんが、少なくとも3つ登録できることは確認しています。
      親コメント
    • by shinshimashima (9763) on 2009年07月14日 16時52分 (#1604706) 日記
      OSとIPアドレスが一致なんて共用PCじゃなくても起こりうる事態ですよね。

      OSの方はほとんどがXPかVISTAだし、
      IPも固定IPでもない限り他人に割り当てられる可能性があり、
      CATVなどローカルアドレスを配布するISPだと同一NAT内の人は同IP。
      親コメント
  •  東京三菱UFJ(の、旧東京三菱系)のオンラインバンキングだと、オンラインで振り込みなどをする場合に、セキュリティカードの数字を聞いてきます。
     オンラインバンキングを申し込んだ時に送られてくるプラスチックのカードに、格子状に数字が書いてあり、確認画面で指示された座標(縦軸が数字、横軸がアイウエオとなっていて、「ア-3」みたいな形式)の数字を答える形です。

     ところが、聞いてくるのが毎回ランダムなので、実はあまり意味がなかったりします。
     というのは、1つの鍵(たとえば「ア-1」の数値)さえ知ってしまえば、あとはオンラインバンキングを使う時、何度かリロードして確認画面を出せば、一定確率で「ア-1」を聞いてきてしまうのです。
     なので、キーになる数字は複数ありますが、実際には1個のときとさして強度が変わらなく、せっかくカード媒体でキーを発行しても、キーロガーなどに遭えば意味がないことになってしまうのです。(もちろん、1つの正解を入力するまではその場所固定で聞いてくるようにしても、長期間にわたってキーロガーで情報を読まれてしまったら何の意味もありませんが。)

     形式から先に入ってしまい、細部に問題があるために実効性に疑問を感じるセキュリティ対策、というものが世の中、少なからずあるように思えて残念です。

    • by phenix (31258) on 2009年07月14日 19時07分 (#1604777)

      入力したパスワードが何に対するものなのかを隠蔽する意味で、ある程度意味はあるんじゃないでしょうか。
      何らかのロガーを使ってパスワードを盗もうとした場合、
      入力側だけのログをとっても、そこで入力されたパスワードが、
      ア-1のものなのか、ウ-3のものなのかわからないので、
      画面のログも取る必要が出てきます。

      親コメント
  • by NOBAX (21937) on 2009年07月14日 19時44分 (#1604795)
    セキュリティの話題なら、こっちの方がよっぽど問題だと思いますが。
    • by Anonymous Coward on 2009年07月14日 22時10分 (#1604869)

      自分の口座がどうなっても良いと思えば、出先のPCでオンラインバンキングを利用して利便性を享受するのも自由ではないでしょうか。
      セキュリティではなく、リスク管理の問題だと思います。

      親コメント
  • by nullme (33867) on 2009年07月15日 7時15分 (#1605020) 日記

    「このパソコンを登録しません」というチェックボックスがある

    チェックボックスに否定形の文言を使ってはいけない、という不文律に反しているからよろしくないのでは。
    # 不文律、というのは主観ですけど。

    これが
     このパソコンを登録する
    というチェックボックスだったら、誰も間違わないのではなかろうか。

  • by brightlight (33350) on 2009年07月14日 21時32分 (#1604850) 日記
    以前登録を行ったFirefoxは通って、同じMacのSafari他は通らなかった(合言葉を聞かれた)ので

    >アクセスしてきたPCのOSとIPアドレスをデータベースに登録し、その情報を用いている

    だけではなく、少なくともUser-Agentが関わっていることは確実だと思うのですが、
    Cookieを使っていないとかいうのはどこの情報なのでしょう。

    IPを変えても合言葉不要で通ったという検証をされているレスもありましたし、
    タレコミ自体の信憑性が微妙なような。
  • 気持ちは判らんでもないけど、セキュリティ対策としてどうよ、ってものタマに見かけますねぇ。

    最近見つけたのだと某米系ネットバンキングの問い合わせのテキスト入力画面で、>, < あるいは SQL の断片的な文字列が使えません、って注意書きがあって... なんか脱力した。

    %% 大きな傘を導入した副作用だろうけど

    --
    • by Anonymous Coward on 2009年07月14日 23時53分 (#1604917)

      私が使ってる某証券会社のサイトは、
      ログアウトのボタンを押して「ログアウトしました」という画面がでても
      そこからログイン後最初に表示される画面までブラウザの戻るボタンで戻って
      リロードし「フォームデータを再送信する必要があります・・・」というポップアップの
      OKボタンを押すとIDもパスワードも入力せずに再ログインできてしまいます。
      セキュリティ上の都合なのか、ログイン後一定時間操作しなかったら自動でログアウトする仕様になっていますが
      こんな穴があるんなら意味無いですね。

      親コメント
  • 鍵の重みは? (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2009年07月14日 16時50分 (#1604702)

    鍵3つのうち2つが失われるのは問題だろうけど、その失われた鍵というのがどれだけの重みのある鍵かというのも考慮に入れないと。

    • Re:鍵の重みは? (スコア:4, 参考になる)

      by k_f (18123) on 2009年07月14日 17時43分 (#1604747)

      話題にあるみずほの他、三菱東京UFJ(MUFG)のインターネットバンキング [bk.mufg.jp]を利用しています。MUFGでは合い言葉などの機能がなく、IDとパスワードでログインが完了します。それに比べると、みずほの方が(緩いとは言え)おまけの鍵を用意していると言えるかも知れません。

      ちなみにどちらのネットバンキングサービスでも、ログインした時点で残高や明細チェックなどは出来てしまいます。振り込みなどお金が移動する処理の場合にはログインパスワードとは別の暗証番号(MUFGは乱数表、みずほは第2暗証番号かワンタイムパスワードトークンを選択)を打ち込む必要があります。これらはいずれもWeb上の体験操作で確認できます(MUFG [bk.mufg.jp]、みずほ [mizuhobank.co.jp])。

      どちらの場合も、トークンなり乱数表を持ち歩くというのはあまりやりたくないことなので、基本的に自宅で利用してます。

      親コメント
      • Re:鍵の重みは? (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2009年07月15日 7時11分 (#1605019)

        MUFGだけど最初乱数表が送られてきた時は少しはセキュリティに気を使っているんだねと感心した。まぁワンタイムパスワードではないものの、乱数表が有効期限設定してあるから定期に更新すればそこそこ安全だろうと思った。

        ところで期限が来てなんか手紙が着たらステッカーだった。「乱数表の有効期限の上に貼って隠してくれ」と。

        感心して損したと思った。

        親コメント
      • by kdmmm (37820) on 2009年07月15日 6時37分 (#1605012)

        私もMUFGとみずほのネットバンキングを利用していますが、MUFGは段階的にセキュリティを向上してきたという印象です。
        使い始めた頃はログイン時に乱数表を使って、ログインページをリロードするたびに違うマスの乱数の入力を求める、というヤバい仕様だったのも改めたし、今は取引実行時にしか乱数表を要求しないので、共用パソコンで残高確認する程度であれば、お金を盗まれる心配は(あまり)なくなりましたね。

        みずほは割と長い間、ログインパスワードと取引実行時パスワードだけで済ませてきたのを、昨年あたりにやっとワンタイムパスワードトークンを使えるようにして、登録PCでないと合い言葉を使うようになりましたが、セキュリティ向上に力を入れているという印象はそれほどありませんね…。

        しかし、MUFGの乱数表は、IDと乱数表の2つが明記されている重要な鍵なのでちょっと不安。
        これらとログインパスワードがあれば送金でもなんでもやり放題だから。

        親コメント
  • by Anonymous Coward on 2009年07月14日 16時51分 (#1604705)

    半年くらい前に問合せをしたときに、
    cookie を 削除する人は毎回 合言葉を入力するの形になるのは仕様であるとの
    解答を頂いたのですが、仕様が変わったのでしょうか?

    一応ヘルプにも
    > cookie(クッキー)を削除したときなど、合言葉の入力が求められる場合があります。
    > その際には、事前に登録された合言葉をご回答いただきます。

    と あるのですが…

    • 私も「あれれ?」と思ったのでちょっと検証してみました。
      1.イーモバイルで接続した後、みずほダイレクトにログイン(初回ログインだったので合言葉を聞かれる。常用環境として登録)
      2.ログアウトした後回線を切り、再接続。前回と違うIPアドレスで接続されていることを確認。
      3.再度みずほダイレクトログイン。合言葉は聞かれなかった。
      4.回線は繋いだままmizuhobank関連のcookieを削除してログイン。合言葉は聞かれなかった。
      5.再度回線切断→再接続。前回と違うIPアドレスで接続されていることを確認。
      6.再度みずほダイレクトログイン。合言葉は聞かれなかった。

      なんだかもっとわからなくなりました。
      IPアドレスをキーにしていないであろうことは上記の検証から想像がつくのですが、cookie全削除しても合言葉聞かれないって……もしかしてIPアドレスではなくMACアドレスが記録されているのでしょうか。だとしたらこれ以上検証できないなあ。
      親コメント
  • 登録していないPCでアクセスしたときにまずパスワードを入力して
    次に合言葉を2回入力して、更にパスワードを入力するので、最初が4回。
    登録済みになった場合は合言葉の入力がなくなるので2回の入力になりますよ。
  • by Anonymous Coward on 2009年07月14日 21時00分 (#1604828)

    もともと標準的なレベルの認証があって,その上で,
    場合によっては不正防止に役立つかもしれない認証も加わっている,
    という形式の,付加的なサービスですよね。

    様子がおかしい客に特別な注意を払うのは窓口でも同じでしょうね。
    「俺の何が不審だ,服装か?じゃあ身なりさえ良ければ誰でもいいのか?」
    と窓口のお嬢さんに絡むのは不合理に思います。

    OSとIPアドレスで疑ってみるという方針は,悪くないと思います。
    不本意にも疑われて少し気分を害してしまったお客さんにとっても,
    疑われてしまった理由に自分で気づきやすいでしょうから。

  • マネックス証券 (スコア:1, 参考になる)

    by Anonymous Coward on 2009年07月14日 22時08分 (#1604867)

    マネックス証券の場合、PCからはIDとパスワードでログインなんだけど、携帯電話からだと口座番号と暗証番号(数字4桁)でログインできる(ただし、暗証番号を一定回数間違えるとアカウントがロックされる)。
    これって、ランダムに口座番号と暗証番号を生成して入力し続けると、結構低くない確率でログインできてしまうのではないかな?ちょっと怖い

  • 以前、会社の都合で新規に口座を作る事になりましたが、
    「ネットバンクをご利用になれば、通帳はいらなくなりますよ(^^)
    お金の振込み、残高確認などがインターネットを利用してご自宅のPCから出来ます。
    あと、クレジット機能をつけて頂きますと(略」

    なんて言われたが、

    「ネットバンクはいりません。クレジット機能もいりません。通帳とATM用のキャッシュカードだけで結構です。
    ん?いえ、キャッシュカードもEdyやSuicaの機能はいりません。必要最低限で結構です」

    とお断りさせて頂きました。
    IT関係の業界にいると「バグのないプログラムは存在しない」という認識があるので、
    いまいちこの手のシステムは信用出来ない自分がいます(デバッグの不可能なプログラムもまた存在しないわけだけど)。

    本を読むにも、電子書籍はNG。時計はアナログ(機械式がベスト)、車はマニュアル。
    あれ・・時代から取り残されてるorz

    そのくせ、プログラムに依存した生活を送ったりと矛盾してますがね・・・。
    • by nim (10479) on 2009年07月15日 8時45分 (#1605036)

      >IT関係の業界にいると「バグのないプログラムは存在しない」という認識があるので、
      >いまいちこの手のシステムは信用出来ない自分がいます(デバッグの不可能なプログラムもまた存在しないわけだけど)。

      ATMも中はWindowsだったりするし、通帳をもっていっても、
      照合のためには陰影呼び出しシステムを使っています。
      もはや、システムに頼らないバンキングなんてものは日本には存在しない
      ので(スイスのプライベートバンクにはあるかも)、結局は
      個別システムの出来を想定しながら使っていくしかないと思います。

      親コメント
    • by Anonymous Coward on 2009年07月15日 0時54分 (#1604941)

      >時計はアナログ(機械式がベスト)

      いや……機械式は利点が無いんでちょっとどうかなあと。
      精度は悪い、歩度が経時変化する、姿勢で歩度が違う、巻きの残量によってトルクが違う、ある程度精度を維持しようと思うと季節ごとに再調整が要る、2-3年に一度ぐらいはオーバーホール、着磁に注意しないといけない、ゼンマイは切れる、衝撃に弱いetc.
      他の例と比べて、自己満足以外の実用上の利点が全くないんじゃ……
      #ってのをアンティーク懐中使ってる人間が言っても説得力がありませんが。
      #150年ぐらい前のでもこまめにメンテすれば実用的な精度は出るんですよ!(日差2-3分とか)

      親コメント
    • by Anonymous Coward on 2009年07月15日 1時12分 (#1604949)

      > 通帳とATM用のキャッシュカードだけで結構です。必要最低限で結構です

      新しいもの好きですよ。「自分は古いタイプの人間」を自任するなら

      ATMなんて機械は信用できないからキャッシュカードなんていりません。通帳とハンコを持って窓口に来ますから。やっぱりお金は人の手から受け取りたいですから。

      くらい言えないとおかしい。マジで。Edy,Suicaの利便性は拒否してもキャッシュカードの利便性だけはしっかり確保って全然古いタイプじゃない。

      > あれ・・時代から取り残されてるorz

      当然部屋に黒電話のみで、携帯電話なんて「何それ?うまいの?」状態なんですよね。

      親コメント
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...