パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

銀行ウェブサイトの大半はセキュアではない?」記事へのコメント

  • by Anonymous Coward
    以前に中の人とネットバンキングに関する雑談をしていたときのこと。

    彼曰く”僕は怖いから(ネットバンキング利用可能な)登録しませんよ。”と。
    そこらへんにすべてが集約されているのだと思います。

    以前のパスワードひとつの新生銀行などはやられ放題でしたし、乱数表をつかっている銀行も大したことない
    と思います。

    特に住友信託銀行、ひどいですね。乱数表からの数字がログインや試行のたびに要求されるのですが、要求
    されるのは乱数表10個のうちの2個。
    しかも乱数は10個しかないうちの小さい順に2つという組み合わせなので、スパイウェアが入ったPCなら
    あっというまに
    • >しかも乱数は10個しかないうちの小さい順に2つという組み合わせなので、スパイウェアが入ったPCなら
      >あっというまに乱数全部ばれてしまいます。

      スパイウェアが入ってるならその時点でもうアウトだと思うんですが。
      乗っ取ったマシン上ではぶっちゃけ何でもできるわけだから、例えば、

      ユーザが銀行サイトにログインし、振込みなどの操作を行うのを待ち構えて、その操作をした瞬間に便乗して(=正規の手順でログインした状態で)自分の口座への送金処理をバックグラウンドでやる
      なんて攻撃がありえます。これをやられたらどれだけ認証手段を強化しても無意味。

      一定のレベルまで認証などを強化することは、カジュアルなアタックを防ぐという意味から当然必要ですが、そこから先はむしろスパイウェアとかフィッシングサイトに引っかからないよう啓蒙する、というレベルの話になってくるのではないかと。

      親コメント
      • by Anonymous Coward
        その攻撃、1回目は成功する可能性がありますが、2回目以降はジャパンネット銀行などのSecurID採用
        サイトでは比較的困難ですね。そのために、他にもメール通知や一日あたりの御利用限度額、未登録先
        への御利用限度額設定などのより多層の防護があるわけです。
        ジャパンネット銀行は日本のネット銀行の中では比較的進んでいる方かと思います。

        もちろん、ユーザーへの啓蒙は必要です。しかし、それだけでは精神論に過ぎませんね。

        電気機器の防水処理の設計を行う際、”機器の内側に水を一滴も入れない”という思想と”万一多少
        入っ
        • by Anonymous Coward

          その攻撃、1回目は成功する可能性がありますが、2回目以降はジャパンネット銀行などのSecurID採用サイトでは比較的困難ですね。

          技術に疎い人はそう思っちゃうんだろうけど、ぜんぜん困難じゃない。中継して一部を書き換えるだけ。
          詳しくは以下をどうぞ。フィッシングの例で書かれてますが、スパイウェアも同じこと。

          対策にならないフィッシング対策がまたもや無批判に宣伝されている [takagi-hiromitsu.jp]

          • by Anonymous Coward
            ジャパンネット銀行を使ってから書こうね。

            あなたの示すURLにジャパンネット銀行の件が書いてありましたか?
            SecurIDの脆弱性が書いてありましたか....。

            1度目が成功しても2度目が成功しないという意味を把握できていますか?
            Man In the Middle Attackの成功の可能性を否定していないんですよ。素人の揚げ足取りは困ります(笑)。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...