パスワードを忘れた? アカウント作成
12194658 story
セキュリティ

三菱東京UFJ銀行、ネットバンキングで乱数表を廃止。ワンタイムパスワード必須に 44

ストーリー by hylom
乱数表の窃取対策? 部門より

三菱東京UFJ銀行のネットバンキングサービス「UFJダイレクト」では送金などの際の認証に乱数表を使っていたが、2015年8月9日よりこれを廃止し、ワンタイムパスワードでのみが認証できるようにするとのこと三菱東京UFJ銀行の発表)。

ワンタイムパスワードは、「三菱東京UFJ銀行」スマートフォンアプリを使って生成できる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  •  2015年8月9日以降の新規契約者から必須となる「ワンタイムパスワード」(物理トークンまたはアプリ)は、ジャパンネット銀行 [japannetbank.co.jp]が約10年前に導入したものと同様であって、「MITB」も「フィッシング詐欺」も防げない脆弱なもの です。ワンタイムパスワードでも被害 不正送金の新ウイルス [asahi.com]という記事を見れば分かるように、このような脆弱なワンタイムパスワードはマルウェアによる振込先・金額の改ざんや・フィッシング(正規サイトへの通信中継を行うフィッシング詐欺)による不正送金を防ぐことができないことから、不正送金被害が多発しています。

     「平成28年度前半目処で、振込等の資金移動取引において、すべてのお客さまにワンタイムパスワード(アプリ、またはカード)の利用を必須とさせていただく予定」とのことなので、トークンの配布コスト・顧客へのサポートコストなど多額の費用がかかるはずですが、それならば何故 みずほ銀行のようにMITBも防げるまともなトランザクション認証 [security.srad.jp] を導入しなかったのか大変疑問です。

     物理トークンの費用などの導入コストは、トランザクション認証であっても大差が無いと思われますし、顧客側の手間も物理トークン(電卓型)に振込先口座番号を入力する程度のものであって、みずほ銀行のように2回目以降の同一口座への振込の際にトランザクション認証を省略できる機能(振込先口座登録)を設ければ、殆ど負担にならないはず。

     今現在、まともなトランザクション認証を導入している邦銀は、私の知る限り みずほ銀行 [security.srad.jp]、住信SBIネット銀行 [netbk.co.jp]、じぶん銀行 [jibunbank.co.jp] だけで、そのうち物理トークンでトランザクション認証を利用できるのは「みずほ銀行」だけです。

    • MUFGから配られている物理トークンはトランザクション認証対応のやつ(そろらく VASCO DIGIPAS 275)で、
      トランザクション認証に対応させることを感じさせるかのごとく(1)と(3)の色が違うよ。
      そのうち導入するんだろ。まあ最初からやっとけよと言うのは同意するけど。

      親コメント
      • MUFGから配られている物理トークンはトランザクション認証対応のやつ(そろらく VASCO DIGIPAS 275)で、
        トランザクション認証に対応させることを感じさせるかのごとく(1)と(3)の色が違うよ。
        そのうち導入するんだろ。

        まずは、トランザクション認証無しのワンタイムパスワードを導入(トークンだけはトランザクション認証対応のもの)してみて、それから不正送金被害がより拡大したら、サーバー側でトランザクション認証に対応というスケジュールでしょうか?

        ゆうちょ銀行 [japanpost.jp] や 三井住友銀行 [smbc.co.jp] も、同様にトークンだけはトランザクション認証対応ですが、一向にトランザクション認証が導入される気配がありませんが……。不正送金被害が更に拡大し、補填金額で経営を圧迫するぐらいになるまで放置し続けるつもりですかね。

        まあ最初からやっとけよと言うのは同意するけど。

        同じトークンを利用しながら途中からトランザクション認証に切り替えると、トークンの利用方法が変わることになって顧客が混乱し、本来振込先口座番号以外を入力してはならないトークンに対して、「ワンタイムパスワードカードに認証コード 1234567 と入力して下さい」(実際には、詐欺師の口座番号)と指示するといったマルウェアの攻撃に顧客が騙されやすくなりそうです。従って、最初から導入すべきですね。

        親コメント
        • by Anonymous Coward

          今回のは全ユーザーに必須となるだけで、結構前から物理トークンは導入されてるんですよ。うちにもある。

          だから、どうせ導入するなら最初からとかいうのはもうすでに遅くて、すでに稼働してるシステムやユーザがあるからそれに合わせただけでしょう。

          そのうち刷新されるかもしれないけれど、それを待つより早く導入した方が被害は小さいという判断でしょう。

    • 無論詐欺の潮流という意味でMITB/フィッシングでの自前振り込みには対応できないですが...、もろもろぬすまれる系だってまだまだあるので、いままでの二要素カードそのもよりだいぶ良くなるとは思うんですが。

      >物理トークンの費用などの導入コスト
      サービス側の処理実装コストという意味で大分ちがうので、さすがにちょっとそれは雑な気がします
      それでもまあ、二度手間になるから、というのもあるので、やっとけとは思いますが

      # そりゃ最初から完璧に防げればそれにこしたことないけど、ね...
      # まあ早急にトランザクションに対応してほしいとは思います

      --
      M-FalconSky (暑いか寒い)
      親コメント
    • by Anonymous Coward

      > 物理トークンの費用などの導入コストは、トランザクション認証であっても大差が無いと思われますし、
      > 顧客側の手間も物理トークン(電卓型)に振込先口座番号を入力する程度のものであって、みずほ銀行のように
      > 2回目以降の同一口座への振込の際にトランザクション認証を省略できる機能(振込先口座登録)を設ければ、殆ど負担にならないはず。
      部外者感を感じました。「日本の技術の粋を結集すれば~」とかの。

      • by Anonymous Coward

        後から切り替えると使用方法の周知コストが無駄に積み上がるのも、
        実際国内で導入してる銀行が既にあるという事実は部外者にも明らか。

        部外者にも明らかな事を述べてるんだからなんの問題もないね。

        元コメの人はアナーキズムというか既存の権威や法律の問題に対する憤りが強そうな人だけど、
        言ってる内容は特に間違ってないだろう。問題があるものを問題があると言っているだけ。

      • by Anonymous Coward

        批判だけして対案も出さないクズは帰ってどうぞ

    • by Anonymous Coward

      トランザクション認証の実績件数がさほど積み上がっていないとかその手の理由かなぁ…
      だとしたらスマホアプリなんぞもっての外なんだけど、
      「方式」しか考慮しないルールなんてのはよくある話。

      あとはシステム販売側が吹っ掛けてきてるとかもあるだろう。

      # だとしても、既存の暗証番号よりマシってだけで妥協するところじゃないわな。

  • by epheal (32955) on 2015年06月22日 19時06分 (#2835206)

    https://play.google.com/store/apps/details?id=com.jpmufgbkapplisponeti... [google.com]
    絵に描いたような低評価のオンパレードですがさて。

    メガバン系はみずほのアプリしか使ったことないけど、
    root化してるとアプリ起動すらできないとかいう
    クソみたいなセキュリティ対策が施されててひどかった。

    • by Anonymous Coward on 2015年06月23日 9時29分 (#2835434)

      >root化してるとアプリ起動すらできないとかいう
      >クソみたいなセキュリティ対策が施されててひどかった。

      それは極めて真っ当なつくりですね。
      root化されて中身がどうなっているのかわからないプラットホームで起動されたらたまったもんじゃない。

      親コメント
    • by Anonymous Coward

      あとで低評価に慌てて高評価化サービスを使って高くするんだろうから今低評価でも問題ない
      そもそも評価システム自体破綻しているから、評価などあてにならない

    • by Anonymous Coward

      外国は知らないが、少なくとも日本の大企業のアプリはどこもクソ。
      UIやらUXを全く考えてない。使いにくいお手本、的なアプリばかり。

      • by Anonymous Coward on 2015年06月23日 7時36分 (#2835387)

        大企業に限らないと思うがどうか
        それに全く考えていないなんてことは無い。
        必死に考え合議の末に鶴の一声で決まった結果なのだよ

        親コメント
        • by Anonymous Coward

          >必死に考え合議の末
          いやそれこそが諸悪の根源。

          みんな考える方向が違うのに、全部くっつけようとする。
          >おれはチャーハン!おれはごはん!
          >じゃぁ、チャーハン定食ということで。チャーハンはおかずです。←必死に考えるところ

          無責任委員会方式。

  • 一応、AndroidもしくはiOSのスマホを持ってないユーザーもワンタイムパスワードカード [bk.mufg.jp]を申し込めば、それを利用した認証もできるようですが・・・。
    とはいえ、顧客に無駄な手間を強いるだけで、今更あまり意味がある対策ではない [security.srad.jp]そうなので、何だかなぁといった感じ。

    • by Anonymous Coward

      スマホアプリでも、申し込み&郵便で6桁の設定番号を受け取る必要がある。
      スマホ利用者がとくに便利というわけではない。

      • これまでの乱数表カードとサイズ比較してみると、
        【乱数表カード(定規で測ったのでだいたい)】8.6cm ×5.4cm ×0.5mm
        【ワンタイムパスワードカード】7cm × 4.5cm × 3.1mm
        と、縦横は小さくなるけど厚みがすごく増す。
        今までは財布の中に乱数表カード入れておけば外出先でもネットバンキングが使えたけど、財布のカード入れ部分に入れるのは難しそうですね・・・。
        外出先でネットバンキングを使いたい非スマホユーザーにとっては、ワンタイムパスワードカードの持ち運びがやっかいかもしれない。

        親コメント
      • by Anonymous Coward

        しかも、端末を買い換えたら再度ハガキで申請が必要。
        iPhoneの場合、バックアップからリストアすればほぼ完全に旧機種の環境を復元できるけど、どうやらこのアプリは端末IDか何かに紐付けてるぽい。
        なんか利便性とセキュリティのバランスがすごく悪い。

  • by Anonymous Coward on 2015年06月22日 15時26分 (#2835077)

    8月9日から変更があるのは、「新たに契約する人だけ」であって、既存ユーザはまだそのまま乱数表が使えるんだぜ.
    来年ぐらいから既存ユーザも otp 必須にしたい、とは言ってるけどな.

    # それでも、海外から使うには乱数表を用いるらしいしな.

    • by Anonymous Coward

      「海外からの場合にはOTP不可で乱数表のみ」というのの理由がよくわからんよね。
      乱数表を無くしたときの再発行およびアクティベーションが国内の住所に対して書留郵便物送付というのも理由の一つだろうけど。
      せめて信頼できる住所(=実家など)に本人確認郵便で送付する、等の手段があってもいいはずだ。

      今回音声案内により即時アクティベーションできるようにしたというのだから、
      いっそ海外顧客こそ「スマートフォンアプリケーション必須」にするくらいでいい。

    • by Anonymous Coward

      あと,資金取引以外の手続きは暗号表が使われるんじゃないかな。
      たとえば,OTPカードの申し込みやスマホの認証郵便の依頼なんか。

  • by the.ACount (31144) on 2015年06月23日 13時33分 (#2835592)

    スマフォ買う気もないしPCはMacだし、銀行窓口だけに戻るか。

    --
    the.ACount
  • by Anonymous Coward on 2015年06月22日 15時04分 (#2835061)

    OTP義務化は非常によいですね。

    でも、AndroidのMicrosoftアカウントアプリ [google.com]みたく、
    チャレンジがあったことがプッシュ通知で送信されてきてアプリ側で承認したらブラウザが次に進む方式のほうが便利なので、
    ここで歩みを止めずにどんどん進んでほしい。

  • by Anonymous Coward on 2015年06月22日 16時30分 (#2835117)

    口座の数だけアプリやトークンがあって非常に不便な上にセキュリティリスクにもなっていると思います。
    Google認証システムのようなOpenOTPでまとめて管理できた方が便利だしより安全なのではないでしょうか。

    • by Anonymous Coward

      パスワード管理会社がハッキングされる現在、同じパスワードを
      使い回しするようなものではないでしょうか。

    • by Anonymous Coward

      おまけにFIDOのように生体認証ゴリ押し勢力もあるしねぇ。コロコロ変わるのが一番よくない

    • by Anonymous Coward

      あれ、UFJネットバンクって複数口座が統一されなかったっけ。

      • by Anonymous Coward

        口座の数だけ、というのはいろんな銀行に持っている口座の数だけ、という趣旨でしょう。同じ銀行に複数の口座を持っている場合の話ではなく。

    • by Anonymous Coward

      十分な安全性を維持するのは前提で、認証デバイスの利便性向上は割と本気で考えてもらいたいですね。
      金融系や口座操作に限らず、様々な認証を外部デバイスで安全かつ簡便にできるのならその方がいいです。

    • by Anonymous Coward

      >セキュリティリスク
      マルウェアを仕込まれるの可能性のあるデバイスはトランザクション認証のトークンには出来ないのでは?
      だってマルウェアが振込先を入力して、その結果を受け取れたら何の意味もありませんよ。パスワードの強度と変わりません。
      だからトークンは物理的にブラウザとは独立していて、本人による物理的な入力を必要とするんじゃないでしょうか。

  • by Anonymous Coward on 2015年06月22日 22時04分 (#2835292)

    三菱UFJには「クラウドダイレクト」という、クラウド環境に置いた仮想マシンから
    オンラインサービスにアクセスする仕組みのシステムがある

    http://direct.bk.mufg.jp/clouddirect/setsumei.html [bk.mufg.jp]

    もうちょっと話題になってもおかしくないと思うんだが、なぜか注目されてないんだよなぁ

    • 三菱UFJには「クラウドダイレクト」という、クラウド環境に置いた仮想マシンから
      オンラインサービスにアクセスする仕組みのシステムがある

      マルウェア対策としての効果は疑問ですが、なかなか斬新で面白い仕組みですよね。

      # 4か月程前に、どうせ却下されるだろうな…… と思いながらも タレコんでみましたが [srad.jp]、やはり却下でした

      親コメント
    • by Anonymous Coward

      正直、何の意味があるのか分かりません。
      クラウド上の専用環境だから安全と言っているようですが、そもそもユーザーのクライアント側に侵入されている状況なら攻撃者のクラウド環境に誘導されるだけでは。
      攻撃に必要なコストは引き上げられるだろうけど、攻撃の難易度は大差ないんじゃないですか。

      • by Anonymous Coward

        ブラウザのっとったり、中間者攻撃みたいなことするマルウェアに感染したPCからでも大丈夫ってことじゃないですかね?

        • by Anonymous Coward

          マルウェアを仕込まれてる時点でブラウザ以外も弄り放題。
          攻撃の対象がブラウザだけなんて決まりはないですよ。

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...