パスワードを忘れた? アカウント作成
13676089 story
セキュリティ

北洋銀行、Webサービスでキャッシュカードの暗証番号の入力を求める 55

ストーリー by hylom
これが日本の一般企業のセキュリティです 部門より
あるAnonymous Coward曰く、

北海道に拠点を置く北洋銀行(第二地方銀行)では、各種オンラインサービスと連携を図りやすくするため「ほくようID」というものの発行に力を注いでいるようだ。ところがこの「ほくようID」を発行すべくオンラインで手続きを進めると、キャッシュカードの暗証番号を入力しろとの案内が出る。

ほくようIDの「よくあるご質問」ページには「ユーザー登録やパスワード再設定の際に、ご本人確認のため暗証番号の入力をお願いしております。暗号化技術を採用し、セキュリティに十分配慮しておりますので安心してご利用ください。」とある一方、北陽ダイレクトの「よくあるご質問」ページなどでは、「当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません」とある。

はたして一般的な利用者は、ほくようIDの暗証番号入力画面が正規の北洋銀行のWEBサーバーだとどのように認識するのだろう。「ほくようID」の発行サイトを装ったサイトを作れば、口座番号も氏名も生年月日も、さらには暗証番号までも、すんなりと手に入れられてしまうだろう。

フィッシングに注意を促すべき銀行自体が、その手口を理解していないようにも思えるこの事案。あっちはダメでこっちはよいという、ダブルスタンダードを掲げる金融機関のセキュリティポリシーに疑問を感じざるを得ない。

最も第二地方銀行くらいの情報部門にそこまで考えろというのは荷が重いのかもしれないが:p

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年08月10日 17時48分 (#3459476)

    暗証番号がデフォルトのパスワードだし、さして変わらない気がするが…

    • 私もそんな気がする

      > 当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません
      ってのもメールやはがきじゃ聴かないよって話じゃないですかね
      ATMじゃ聴いてくるんだし、登録完了後もページでパスワードも入れなきゃいけないんでしょ

      まー金の事だし厳しくしたいのとあらゆる人を相手にしたいから難しくはできないのとかなりアンビバレンツなんだよな

      登録と確認は簡単にして時間で権利拡大(Web登録1週間は1万円まで、ひと月は10万まで)
      とかどうだろう
      無理あるか…

      親コメント
      • by Anonymous Coward

        >ってのもメールやはがきじゃ聴かないよって話じゃないですかね

        メールやはがきもですけど、基本は電話だと思ってました。
        「あなたの口座が不正利用されています」的な奴や、オレオレ詐欺、還付金詐欺とのセットの奴。

        • by Anonymous Coward

          地方の信金の支店で大口預金者とかだと
          「会社の支払いで100万いるからおろして昼ごろ持ってきて」で支店長が現金持ってきて
          帰りに通帳と印鑑持って帰って、部下が後で通帳持って来たり
          その孫がつい先日、キャッシュカード紛失時に電話で再発行と新しい暗証番号伝えて変更して
          キャッシュカードに同封されている申請書にバックデートで記入して返送なんて事も

          そこそこの年齢まで信金は行く物ではなく、呼ぶものだと思っており
          大人になって初めて銀行に口座作ろうとした時の融通の利かなさにに驚愕した孫なのでAC

    • by Anonymous Coward

      イオン銀行は、自転車保険プレゼントキャンペーンでも必要。
      https://www.aeonbank.co.jp/insurance/campaign/180803_01.html [aeonbank.co.jp]

    • by Anonymous Coward

      右に同じく。某三井住友のWebだって、4桁の番号をお入れくださいになってる。

      いやまあ、この4桁の番号はイコール暗証番号じゃないんだが、とはいえ一つの銀行に複数の4桁の番号を使うセキュリティ意識の高い奴なんてそうそう居ないから、結局大多数の人は暗証番号になるだろう。
      普通にパスワード使わせて欲しい。

    • by Anonymous Coward

      新生銀行だと、いまでも口座番号+暗証番号+オンラインパスワードでのログインです。
      ネットバンキング黎明期からのシステムですし。

  • by Anonymous Coward on 2018年08月10日 17時43分 (#3459471)

    >最も第二地方銀行くらいの情報部門にそこまで考えろというのは荷が重いのかもしれないが
    いや、れっきとした日本円扱ってる銀行のコモンセンスとしてそれくらいしっかりしてほしいでしょう。
    日本円じゃなくてガバスだったらそれでもいいですが
    # どこかに間抜けがいたようだな

    • 第二地方銀行と言っても、北洋銀行は北海道拓殖銀行(都市銀行)を飲み込んでいるから
      軽く見てはいけない。
      親コメント
    • by Anonymous Coward

      銀行口座なんていくつでも作れるんだから、
      インターネットバンキングの口座には盗られても困らない程度だけ入れといて
      大金はもうちょっとましな銀行の通帳と判子だけの口座にわけときゃいいんじゃないかなぁ。

      • by asap (6830) on 2018年08月10日 18時38分 (#3459510)
        それはひとつの見識と思う。 ただ、同じパスワードを複数の金融取引で使ってしまう人も多いから、一つ判ると芋づる式にやられる場合もある。
        親コメント
        • by Anonymous Coward

          同じパスワードを複数の金融取引で使ってしまう

          それ、一時期やってました。
          で、A銀行のATMで、A銀行のカードでお金をおろそうとして間違えてB銀行のカードを突っ込んでいて、取引が成立した瞬間に「手数料」の項目を見て間違いに気づいて、悲しくなったことがあります。

          #そっこーで片方の暗証番号を変更した。

      • 被害額の統計からしてインターネットバンキングの不正利用って大した被害出てないです

        ATMやインターネットバンキングの不正利用は60日以内ぐらい(銀行によって異なる)に申告すれば被害額が補てんされることが多いですが
        窓口での不正利用は通帳と印影さえ一致していれば補てんされません
        印は銀行員の目の前で押印する必要はなく払戻請求書の印影が一致していれば良いので偽造も容易です

        つまり通帳が盗まれたら全額引き出されてしまう恐れがあるわけです

        ってことでむしろ通帳が無く窓口で引き出せない口座が一番安全です。

        なお不正利用に気が付かないと補てんされることは無いので月1回は取引履歴を確認する必要ありです

        • そもそも今どきは通帳に押印してない。
          印影の照合はオンラインで行ってる。

          親コメント
        • by Anonymous Coward

          いや、普通に窓口での不正引き出しされる場合が最も被害が少ないんだけど、なんでネットバンクの方は被害額の大小で安全と判断し、片方は「通帳が盗まれたら全額引き出される可能性」で安全ではないとか言ってんの?
          それを言ったらパスワードを取られたらネットバンキングだって最終的に全額引き出されてしまう可能性があるんだから十分に危険じゃんか。

          保障についても、預金者保護法の話をしてんなら、その法律を元に

          • by Anonymous Coward

            だよね。

            通帳もって銀行窓口に行って、バレたら速攻で現行犯逮捕やもん。
            普通に警備員もいるし防犯カメラもあるから、証拠にも残りやすくて、犯人のリスクが大きい。

            これに較べればネットバンキングや振り込め詐欺は、仮にバレても逮捕される可能性が
            ほぼ0%なので、犯人としては実に美味しい。

      • by Anonymous Coward

        複数口座は持てても、総合口座は一つしか持てないし、
        昨今は本人確認と使徒の明確化が義務づけられているから、
        「なんとなく」でホイホイと口座を作れる時代ではございませんよ。

        • by Anonymous Coward

          https://gmo-aozora.com/service/purpose.html [gmo-aozora.com]
          ホイホイ作れるよ

          口座開設の手紙来てから1週間も経ってないのに事例が載ってるとか、嘘つきじゃん

          • by Anonymous Coward

            ホイホイ作れないのはマネロン対策なので、この例は見当はずれかと。

          • by Anonymous Coward

            これって、元々の口座に紐づいた仮想口座(?)で、物理的な口座は一つしかないみたい。

            元々の話は、同じ銀行では2つ目以降の新規の口座を簡単には作れないってこと。
            まぁ、それなりに簡単に作れはするんだけど、新規の口座を持つ理由を聞かれて、その銀行が合理的な理由と判断してくれないと拒否される。

        • 複数口座は持てても、総合口座は一つしか持てないし、

          ダウト!
          原則として正当な理由が無ければ住所地や勤務先の付近しか作れないものの理由があれば作れるし、というか作らされる
          流石に同じ支店には複数口座は作れないと思うけどね(屋号有りと屋号無しとかなら作れるかもしれんけど)

          俺なんて作りたくないのに、給料振込用にここに作れだの出張旅費精算用にここに作れだの管理支店を変更したからこっちに作れ直せだの言われまくって、現在有効なみずほ銀行の総合口座だけで5個もある(全部個人名義の口座で支店が違う)

      • by Anonymous Coward

        盗られても困らない額の貯金しかない俺が最強だろうな。

  • by Anonymous Coward on 2018年08月10日 17時47分 (#3459474)

    webからルート証明書をインストールさせようとしたメガバンクがありましてね(さすがにすぐ案内ページを削除したようだけど)
    https://srad.jp/submission/77187/ [srad.jp]

    • by Anonymous Coward on 2018年08月10日 17時51分 (#3459481)

      ちなみにその手順を実行しようとしたときFirefoxで表示されるメッセージ

      本物の銀行、通信販売、その他の公開サイトがこの操作を求めることはありません。

      おっそうだな

      親コメント
      • by Anonymous Coward

        「この銀行は出来損ないだ。明日、メガバンクに来てください。本物の銀行というやつを見せてやりますよ」

    • by Anonymous Coward

      (タイトルつながりで)
      拓銀亡き後今一つパッとしない道銀を追い抜いてブリブリ言わせているのが
      北洋銀行という記事を見たことがあるような記憶があるのだが
      ほんとのところはどうなんだろ。

  • by Anonymous Coward on 2018年08月10日 18時09分 (#3459490)

    口座の暗証番号、ウェブ用のIDとパスワード、キャッシュカード用の暗証番号、デビットカード用の暗証番号、ワンタイムパスワード、あと乱数表、指紋認証、スマホアプリ用のパスワード

    銀行口座作るだけで何個パスワード必要なの?不便すぎる。

    • 多くの人は銀行に1000万とかそれ以上の大金を預けてる訳で
      それなりの不便さは仕方ないのでは?

      親コメント
      • by Anonymous Coward

        みんな箪笥に入れてるんじゃないの?

      • by Anonymous Coward

        多くの人は銀行に1000万とかそれ以上の大金を預けてる訳で

        いえいえ
        より多くの国民は貯金より借金のほうが多いので大丈夫です

  • by Anonymous Coward on 2018年08月10日 18時26分 (#3459507)

    明らかにおかしな仕様をそのまま実装した会社を知りたい

    • 元拓銀のシステムを拡張して使い続けているので、IBMのはず。

      親コメント
    • 実装した会社よりも、要件を決めた銀行のほうがはるかにダメなんじゃないの?
      いっそ個々の銀行に要件を決めさせてはイカンのかも?

      親コメント
    • by Anonymous Coward on 2018年08月10日 21時49分 (#3459652)

      この銀行、サービスもこの通りだけど、アプリも酷いもので
      オンラインは使うなと言わんばかりの鉄壁のクソ仕様なんだよ。
      セキュリティ強化の名の下、ワンタイムパスワードは8桁もあるし、スマホアプリのくせにログイン情報の保持もできない。
      情報部門なのか関連情報会社なのかは知らないけど、相当な無知者が権限を握っていると見た。

      親コメント
      • by Anonymous Coward on 2018年08月11日 16時06分 (#3460002)

        コレじゃないけど、口座振替、クレカ、用紙振込、代引など複数選択肢があっても、手間と手数料の問題で使わせたくない選択肢を、ワザと面倒かつ複雑にして他の方法に誘導する設計を頼まれたことがある。
        特定業種に必須なシステムで、親方日の丸だからクレーム聞く気も売上拡大も必要ないから、サービス提供側だけの都合だけで利用者を振り回すアレな仕事でした。

        親コメント
    • by Anonymous Coward

      ドメインからするとTSUBASAプロジェクトの機能なので、日本IBMなんじゃないかね

    • by Anonymous Coward

      いつのまにかURLに#!を使うのも時代遅れになっちゃったね
      Javascript無効にしてたら使えないというひどい仕様だし

  • by Anonymous Coward on 2018年08月10日 19時10分 (#3459537)

    みんな当然のごとくこのサイトが正しい前提でコメしてるけど、サイトを乗っ取られて改ざんされた可能性はないの?
    北洋銀行の中の人がニュースで気がついて慌ててたりはしてないの?

    • by Anonymous Coward

      論じないから「論外」ってんだよ

    • by Anonymous Coward

      コールセンターに確認したけど、確かにキャッシュカードの暗証番号を入れるというオペレーションだったよ。

  • by Anonymous Coward on 2018年08月10日 21時06分 (#3459613)

    店番号、口座番号、暗証番号、パスワード、セキュリティカード(乱数表)に書かれた3つの数字、を入力しないとログインできなかった。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...