パスワードを忘れた? アカウント作成
10278464 story
セキュリティ

みずほ銀のネットバンキングサービスで登録アドレスを携帯メールに変更するよう呼びかけ 51

ストーリー by hylom
そもそもメールの中身は常に第三者に閲覧される可能性があるのですが 部門より
あるAnonymous Coward 曰く、

フィッシングやキーロガーによる銀行口座の被害が多発していることへの対策として、みずほ銀行が同社のネットバンキングサービス「みずほダイレクト」利用者に向け、スマートフォンや携帯電話のメールアドレスを登録するよう注意喚起を行っている。

お使いのパソコンがウィルス等に感染している場合、お送りしたメール内容が第三者に盗み取られる可能性がございます。特に、フリーメール(無料でアカウントを取得できる電子メールサービス)はID・パスワードなどを第三者に不正に利用される可能性も高いため、ご登録なさらないようお願いいたします。

とのことで、Webメールはセキュリティが弱いといった理由からのようだが、だから携帯メールに変更しろというのはどうなのだろうか。

なお、みずほ銀行(@e-mail.mizuhobank.co.jp)を騙ったメールというのも出回っているそうなので、このメールが信頼に足るものなのかどうかも悩ましいところである。

登録メールアドレスがフリーメールになっている利用者にはスマートフォン/携帯電話のメールアドレスを登録するよう促すメールが届いている模様。とはいえ、スマートフォンのセキュリティについても問題となっている現状、PCとどちらが危険かは判断が難しいところである。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by NOBAX (21937) on 2013年11月26日 13時16分 (#2501059)
    理由の第一は
    >登録いただくメールアドレスは、受信後すぐにご確認いただけるよう、
    >スマートフォンや携帯電話のメールアドレスをご登録ください。
    >第三者による不正利用が発生した際の、早期発見につながります。

    と書いてある。
    スマホや携帯なら手元にあって確認しやすいと考えているということでしょう。
    みずほはやってないけど、他の銀行では複数のメールアドレスを登録できるところもあるので、
    そういう方法もありではないか。

    それ以外にも、みずほのパスワードは
    >アルファベットと数字を組み合わせた6桁~32桁のパスワードを入力
    となっているけど、

    三菱東京UFJみたいに
    >半角英数字と半角記号の組み合わせで8桁以上16桁以内でご入力ください。記号は必須です。
    >利用可能な記号は # $ + - . / : = ? @ [ ] ^ _ ` | です。
    にするとか、やるべきことは他にもあるとは思うけど。
    • by nemui4 (20313) on 2013年11月26日 13時27分 (#2501071) 日記

      なんとなく
      「みずほ銀行のネットバンキングはセキュリティに不安があるので客は十分自衛して使ってくれ」
      って銀行が言ってるように受け取れてしまいますね。

      ということで、みずほ銀行のネットバンキングは危ないので使わないが正解。

      親コメント
      • by Anonymous Coward

        セキュリティはどうかわからないが、システム周りのごたごたを見ていると、使っていてドキドキします。
        #使うなよ。

        • by nemui4 (20313) on 2013年11月27日 8時49分 (#2501488) 日記

          いっぺん統合作業かなにかのメンテ失敗してエライコトになってたんでしたっけ。

          以前GW連休前にみずほATMから旅行の軍資金降ろそうとしたら途中で無反応・・・
          と、いきなりガコっとATMの筐体が凹んでユニットごと奥に引っ込んで新手の詐欺にでも引っかかったのかとパニクッて横にあった電話で話したら「システムに異常が出たので調べてます。お引き取りください」とのこと。

          お金降したいんだけど今の手続きはどうなった?と聞いたら
          「手続きは完了しています」とのこと
          って、お金出てきてないよと言うと
          「連休明け一週間くらいで口座に戻します、手数料も取りません」
          って、今お金が必要でもう口座にあんまり残ってないよとごねても「すみません、お引き取りください」しか言わなくて脱力のGWが始まったという黒い記憶がよみがえった。
          #細部はたぶん色々間違って覚えてるけど大筋はあってます。

          親コメント
    • by Anonymous Coward

      さっさとOTP必須にしろよ、でFAだと思ってる。

      • by Anonymous Coward on 2013年11月26日 13時47分 (#2501092)

        今年10月よりワンタイムパスワードトークンの利用料無料化を実施

        親コメント
      • by Anonymous Coward on 2013年11月26日 14時31分 (#2501129)

        > さっさとOTP必須にしろよ、でFAだと思ってる。

        OTPはフィッシング対策としてはまったくもって不十分です。
        フィッシング側でOTP入力を本物のサーバーにリレーする(MITM攻撃)と簡単に破れるので。

        またスマホや携帯のブラウザだと、URLバーのアドレス確認が面倒くさいので、PCよりも
        フィッシング攻撃に弱い側面もありますね。

        親コメント
        • でも、フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。

          親コメント
          • by Anonymous Coward

            > フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。

            えー?
            「ブラウザのURLバーをしっかり確認する」でFAでは?
            リテラシーとして、これは必須だし、今のところ十分な対策でしょう。
            (国際化ドメイン名とR2Lでフガホゲとかは懸念材料ですが、まだ聞いたことはない)。
            OTPに比べても穴が少ない上、安価。

            • by Anonymous Coward

              「ブラウザのURLバーをしっかり確認する」で何が確認できるんだ。(ブラウザやプラグインのチェック機能の結果を確認?)
              URL見ただけで正しいものと正しくないものを十分な精度と範囲で区別できる人間がいるとは思えない。(ごく限られたもののみになるのではないか?)
              だいたいURLを偽装する(URLそのものの偽装ではなくて、接続先を偽装する事も含む)のは最初の一歩だと思うのだが

              • by Anonymous Coward

                ちょっと何言ってるのか本気でわからない。
                誰か翻訳おねがい

              • by Anonymous Coward on 2013年11月27日 9時38分 (#2501511)

                http://takagi-hiromitsu.jp/diary/20041215.html [takagi-hiromitsu.jp]
                でリンク、引用してるようなURLのドメイン部分確認作業のことでしょ。
                高校あたりで教えなきゃいけない常識だよね、これ。

                R2Lは、RLOの別名。「RLO 対策」でググれば分かると思う。

                親コメント
              • by Anonymous Coward

                あ、本気でわからないってのは、#2501430 のポストの方か。
                スラドでもリテラシー教育を否定するタイプはいるってことでは?
                銀行のような重要サイトなら、EV-SSLな証明書とってるだろうし、
                その確認なら、高校生程度の教養と、適切なリテラシー教育があれば、
                殆どの人ができると思うけどねえ。

              • by Anonymous Coward

                そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。
                #お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?
                URLが正しいとしても、名前解決、ルーティングに手を入れられている可能性はないのか?
                #フィッシングは不特定多数相手とは限らない

              • by Anonymous Coward

                > そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。

                もちろん、その話をしてますよ。
                旧来のSSL証明書にある、その問題を解決するために、EV-SSL証明書が導入されたんですよ。
                「携帯電話メールを使う」なんていう筋の悪い教育をするのではなく、EV-SSL証明書について
                説明するのがまっとうな解決でしょう。

                > #お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?

                EV-SSL証明書を使っていれば、そこまで正確に覚える必要はありません。
                たとえば
                https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001 [bk.mufg.jp]
                にアクセスして

  • みずほ銀行以外に変更してくださいとかになるんですかね

    • by Anonymous Coward

      直接銀行に来てログインしてくださいとなります

  • 例えば、「スマートフォンや携帯電話のメールアドレスを登録するよう注意喚起」
    と言うメールが届いたとしよう。
    メールの送信者は簡単に偽装できるのであてにならない。
    webサイトへ誘導するようなリンクなどがあったら要注意だ。
    注意勧告に見せかけて実際はそれ自体がフィッシングの可能性がある。
    その場合、リンク先の電子証明書をちゃんと確認しよう。
    かなり高い確率でフィッシングを防止出来る。

    では実際練習してみよう。
    まずこのタレコミのリンクさきを開いて証明書を確認してみよう。
    アクセス先のドメインと証明書のドメインが一致したら登録者の情報を見てみよう。
    ちゃんとみずほ銀行になっていることを確認できたかな?

    • みずほ銀行からのメールマガジン等への電子署名の付与について
      http://www.mizuhobank.co.jp/crime/smime/index.html [mizuhobank.co.jp]

      リンク先の証明書を確認ってもちろんギャグですよね?

      親コメント
    • by Anonymous Coward

      なお、確認できなかった場合は、自動的にマルウェアがインストールされます。

    • by Anonymous Coward

      そもそもメールを鵜呑みにしちゃダメだと思う。
      本当に大事なお知らせだったらWebサイトでも同様に告知されている筈だし。
      しかし、そのWebサイトが本物である保証はないけどね。

      金融取引にはOS標準のブラウザを、JAVAもアドオンもプラグインも入れずにつかって、ブックマークを頼りにアクセスするようにしてる。
      (他のサイトを見る時にはChromeとか使う)
      でも公式サイトが犯されていたら意味ないなーとか思って見たりする。

  • by Anonymous Coward on 2013年11月26日 14時04分 (#2501113)
    > なお、みずほ銀行(@e-mail.mizuhobank.co.jp)を騙ったメールというのも出回っているそうなので、このメールが信頼に足るものなのかどうかも悩ましいところである。

    みずほダイレクトやみずほマイレージクラブからのメールはちゃんとS/MIME署名がされてるので、差出人がみずほ銀行であると保証されていること、通信経路上で内容が改竄されていないことはPCのメールソフトなら容易に検証できる。
    だが、スマートフォンや携帯電話のメールソフトでS/MIME署名を検証できるのってあるのか?
    せっかくの署名が無意味になっちまうから、何度かメアド変更要請来てるけど無視してPCメールのままにしてる。

    > 現在ご登録いただいているフリーメール(Yahoo!メール、Hotmail、Gmail等)は、PCがウィルスに感染すると、第三者がメール閲覧用のIDおよびパスワードを不正に入手し、当行より通知した認証用暗証番号を盗み取る可能性があり大変危険です。また、当該事象が起因すると思われる不正送金も発生しております。

    使い捨てのワンタイムパスワードの受け取りだってPCメールで何の問題もないし。
    むしろワンタイムパスワードトークンをダイレクト契約者全員に配布すればすべて解決。
    • >だが、スマートフォンや携帯電話のメールソフトでS/MIME署名を検証できるのってあるのか?

      Blackberry では標準でできるみたいですよ。
      参考 [blackberry.com]

      親コメント
    • by Anonymous Coward on 2013年11月26日 20時36分 (#2501322)

      >だが、スマートフォンや携帯電話のメールソフトでS/MIME署名を検証できるのってあるのか?

      iOSはiOS5から標準でS/MIME対応してますよ。(送信も含めて)
      検証を通ったメールの場合、送信者のところに鍵のかかったマークが付き、
      改竄されていれば鍵が外れたマークが真っ赤になって付くのでよく目立ちます。

      親コメント
      • by Anonymous Coward

        >改竄されていれば鍵が外れたマークが真っ赤になって付くのでよく目立ちます。
        自分で実験したんですよね?改竄されたフィッシングメールがドストライクだったんじゃないですよね?

    • by Anonymous Coward

      世の中、トークンがなんなのか、どうやって使うのか知らない人の方が圧倒的に多い。
      面倒だって人までいる。

      日頃からパソコンやネットやセキュリティの知識を付けてる人ならいいけど、一般にはなかなか受け入れられないよ。
      最近はオンラインサービス各社が2段階認証を導入してるけど、まわりの一般層でセットアップしてる人がどれだけいるか。
      Google、Facebook、Dropbox、Evernote、Microsoftなど、みんな対応してるんだけど。Twitterもあるけど日本は対象外orz

      • by Anonymous Coward

        > 面倒だって人までいる。
        面倒だろ、実際。
        あんなの利用者のためじゃなくて銀行が面倒に巻き込まれにくいようにやってるだけじゃん。

        • by Anonymous Coward on 2013年11月26日 17時55分 (#2501245)

          かなり以前からジャパンネットバンク銀行のRSA社のトークン使ってますが、すばらしく楽で便利ですが…。

          効果が疑問な対照表使ったり、複雑すぎるパスワード求めたりするのに比べて、キーホルダーに表示される6桁の数字入れるだけのなんと楽ちんなことか。
          採用していない銀行があることが信じられない思いなんですけどね…。

          完璧ではないようだけど、それでも「複雑なパスワード」なんてものより遙かに強かろうし。
          ログインパスワードは漏れたところで何もできない。
          つまり覚えやすいパスワードでも良いので、トークン使った方が結果的に楽ですよ。

          親コメント
  • by Anonymous Coward on 2013年11月26日 13時31分 (#2501079)

    楽天銀行も、携帯電話・スマートフォンのメールアドレスを推奨し、
    @infoseek.jpを含めフリーメールを推奨していない。
    http://www.rakuten-bank.co.jp/info/2013/130627.html [rakuten-bank.co.jp]

    • by Anonymous Coward on 2013年11月26日 13時48分 (#2501094)

      楽天グループ自体がスパムメールの発信源のひとつであることを考慮すると、
      楽天銀行自体推奨出来ない気がします。

      #買い物毎にチェックボックスを外す手間を掛けさせるミッキーは万死に値する
      (側近が幾ら言っても本人が首を縦に振らないそうな)

      親コメント
    • by Anonymous Coward

      どこぞの宅配便のなんたらサービスも、フリーメール禁止って言ってた。

      G-mailが使えないから、サービスの利用自体を断念したわ。

    • by Anonymous Coward

      Google AppsやOffice 365なんかの無料サービスもダメになっちゃうのかぁ。
      仕事で使ってる人もダメか。それか独自ドメインにしたらOKになっちゃうのかな?中身一緒なのに。

      • by Anonymous Coward

        結局、実名というか身元とメールアドレスをガッチリ紐付けてる、そして日本の法律で身元に辿り着けることをみずほ銀行にとって信用できる所が保証しているかどうかじゃないかと。
        で、フリーメールみたいな紐付けが怪しい所や海外企業が管理している所はダメと。

  • 「くっ! ドコモ!au!ソフトバンク!どいつもこいつもケータイメール!
    なぜだ、なぜ奴を認めて、このおれを認めねえんだ」

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...