アカウント名:
パスワード:
現在、ネットバンキングでは、ログイン時に ID(もしくは口座番号) と パスワード が要求され(過去にログインした時のCookieが無い場合、IPアドレスが変わった場合などに追加で合言葉が要求される銀行も多い)、振込時にはワンタイムパスワードや乱数表の一部を入力する方式が主流なので、乱数表を全部入力させるというふざけたサービス [twitter.com]を除けば、家計簿Webアプリ側は直ちに不正振込が行えるだけの情報を持っていないことになります。
しかし、家計簿Webアプリのサーバが乗っ取られた場合、クラッカーがWebアプリを改ざんし、ソーシャルエンジニアリングでワンタイムパスワードなどを入力させようとするかもしれません。例えば、家計簿サービスにログインして銀行から取引履歴を取得する作業を行ったときに、
セキュリティ強化のため、再認証が必要となりました。○○銀行のトークンに表示されている、6桁のワンタイムパスワードを入力して下さい。
というメッセージを表示させたら、50人に1人ぐらいは引っかかるのでは?
マネーフォワードは200万人利用者がいる [moneyforward.com]そうですが、そのうち銀行口座を登録している人が50万人居て、ソーシャルエンジニアリングに引っかかる人が50人に1人居て、1人が送金可能な金額が平均で20万円だとしたら、被害額は20億円 となります(※)。2014年のネットバンキング不正振込の被害額が全銀行で 約29億1000万円 であることを考えると、物凄い金額です。 [jiji.com]
※出典: Printable is bad. によるフェルミ推定 (データは推測によるもので信頼性は確保されていません)
ということで、被害が出る前に、銀行側でも対策すべきだと思います。現実的な対策としては、
が挙げられます。既に両方やっているみずほ銀行は凄いと思います。
その例であげられている新生銀行は、ログイン時に全部入力しないとダメで、ログイン以降の振り込み時認証などはないという「非主流」です。(口座番号、カードの暗誦番号4桁、ネットバンク用パスワード、乱数表から4桁入れないとログインできない)なので、新生から情報を引っこ抜こうとすれば、どうしてもそういうものになります。前からずっと思っていましたが、まあフザケタ銀行ですネ。
システムパッケージを格安で買ってきた結果、あれこれ変更できない、と聞いた気が。
少なくとも時代遅れ感はハンパないですね。。。
乱数表は入力しなくても、残高は取得できます。
https://moneyforward.com/faq/2#218 [moneyforward.com]
新生銀行の登録には、セキュリティカードの登録が必須でしょうか。セキュリティカードが不要な登録方法もございます。新生銀行(投資信託付加版)をご選択ください。セキュリティ・カード不要版のご登録では、預金残高及び入出金データの取得は可能な一方で、投資信託等の一部のデータ取得が制限されます点にご注意下さい。
1万人をソーシャルエンジニアリングにかける手間を考えたら20億円なんて大した価値ないと思うよ。同時多発的に1000種類の犯罪グループがソーシャルエンジニアリング始めるなんて可能性はゼロではないけれども。
大量にばらまいて0.1%でも引っかかったら儲けになるスパムやらフィッシングやらがこんだけ蔓延ってる今、数の手間は問題にはならんだろ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
家計簿Webアプリのサーバが乗っ取られたら 20億円 の被害が出るかも (スコア:2)
現在、ネットバンキングでは、ログイン時に ID(もしくは口座番号) と パスワード が要求され(過去にログインした時のCookieが無い場合、IPアドレスが変わった場合などに追加で合言葉が要求される銀行も多い)、振込時にはワンタイムパスワードや乱数表の一部を入力する方式が主流なので、乱数表を全部入力させるというふざけたサービス [twitter.com]を除けば、家計簿Webアプリ側は直ちに不正振込が行えるだけの情報を持っていないことになります。
しかし、家計簿Webアプリのサーバが乗っ取られた場合、クラッカーがWebアプリを改ざんし、ソーシャルエンジニアリングでワンタイムパスワードなどを入力させようとするかもしれません。例えば、家計簿サービスにログインして銀行から取引履歴を取得する作業を行ったときに、
というメッセージを表示させたら、50人に1人ぐらいは引っかかるのでは?
マネーフォワードは200万人利用者がいる [moneyforward.com]そうですが、そのうち銀行口座を登録している人が50万人居て、ソーシャルエンジニアリングに引っかかる人が50人に1人居て、1人が送金可能な金額が平均で20万円だとしたら、被害額は20億円 となります(※)。2014年のネットバンキング不正振込の被害額が全銀行で 約29億1000万円 であることを考えると、物凄い金額です。 [jiji.com]
※出典: Printable is bad. によるフェルミ推定 (データは推測によるもので信頼性は確保されていません)
ということで、被害が出る前に、銀行側でも対策すべきだと思います。現実的な対策としては、
が挙げられます。既に両方やっているみずほ銀行は凄いと思います。
Re: (スコア:0)
その例であげられている新生銀行は、ログイン時に全部入力しないとダメで、ログイン以降の振り込み時認証などはないという「非主流」です。(口座番号、カードの暗誦番号4桁、ネットバンク用パスワード、乱数表から4桁入れないとログインできない)
なので、新生から情報を引っこ抜こうとすれば、どうしてもそういうものになります。
前からずっと思っていましたが、まあフザケタ銀行ですネ。
Re: (スコア:0)
システムパッケージを格安で買ってきた結果、あれこれ変更できない、と聞いた気が。
少なくとも時代遅れ感はハンパないですね。。。
Re: (スコア:0)
乱数表は入力しなくても、残高は取得できます。
https://moneyforward.com/faq/2#218 [moneyforward.com]
新生銀行の登録には、セキュリティカードの登録が必須でしょうか。
セキュリティカードが不要な登録方法もございます。新生銀行(投資信託付加版)をご選択ください。セキュリティ・カード不要版のご登録では、預金残高及び入出金データの取得は可能な一方で、投資信託等の一部のデータ取得が制限されます点にご注意下さい。
Re: (スコア:0)
1万人をソーシャルエンジニアリングにかける手間を考えたら20億円なんて大した価値ないと思うよ。
同時多発的に1000種類の犯罪グループがソーシャルエンジニアリング始めるなんて可能性はゼロではないけれども。
Re: (スコア:0)
大量にばらまいて0.1%でも引っかかったら儲けになるスパムやらフィッシングやらがこんだけ蔓延ってる今、数の手間は問題にはならんだろ。