パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

銀行ウェブサイトの大半はセキュアではない?」記事へのコメント

  • by Anonymous Coward on 2008年07月28日 9時18分 (#1391747)
    以前に中の人とネットバンキングに関する雑談をしていたときのこと。

    彼曰く”僕は怖いから(ネットバンキング利用可能な)登録しませんよ。”と。
    そこらへんにすべてが集約されているのだと思います。

    以前のパスワードひとつの新生銀行などはやられ放題でしたし、乱数表をつかっている銀行も大したことない
    と思います。

    特に住友信託銀行、ひどいですね。乱数表からの数字がログインや試行のたびに要求されるのですが、要求
    されるのは乱数表10個のうちの2個。
    しかも乱数は10個しかないうちの小さい順に2つという組み合わせなので、スパイウェアが入ったPCなら
    あっというまに乱数全部ばれてしまいます。っていうか、ログインの時点では参照系しか必要ないから貴重
    な乱数つかわせちゃいかんだろ。設計したやつ出てきて謝れ、という感じですかね。
    口座番号とユーザーIDが違うところだけは評価しますが、その他の部分は最低です。

    三井住友銀行もひどいですね。SecureIDがオプションサービスで月100円とか、入出金のメールサービスが
    月100円ってセキュリティの根本的な部分ですのでそこで商売してどうするの?と思います。
    ここも基本は乱数表で16個のマスからひとつ選ぶ形ですね。出来るだけ、無駄な乱数の消費が無いよう配慮
    されていますが、所詮は16個の乱数表の世界です。知れています。SecureIDがオプションにある程ですので
    確信犯なんでしょうね。

    海外の銀行の話になりますが、SecureIDか、ワンタイムパスワードが主流です。
    SecureIDもワンタイムパスワードの一種ではありますが、ほかに原始的なやり方として、”紙による”
    ワンタイムパスワードってのがあるんですね。A4の紙にたくさんパスワードが印刷されていて、パスワード
    ごとに小片に切れる形です。無くなりそうになれば次の紙を請求する感じですね。
    よほど原理的に安全だし、シンプルなのかな、と思います。
    • by kawauso (5796) on 2008年07月28日 16時26分 (#1392064) ホームページ
      そのとおりですね > 貴重な乱数

      新生銀行も最近乱数表を採用しましたけど、ログイン時に要求するタイプです。
      あとログイン時に口座の暗証番号も入れるようになってるんですが、これも疑問です。

      なんというか、たくさん入力させれば強度が増すだろうという発想が
      間違ってる気がします。
      親コメント
    • >しかも乱数は10個しかないうちの小さい順に2つという組み合わせなので、スパイウェアが入ったPCなら
      >あっというまに乱数全部ばれてしまいます。

      スパイウェアが入ってるならその時点でもうアウトだと思うんですが。
      乗っ取ったマシン上ではぶっちゃけ何でもできるわけだから、例えば、

      ユーザが銀行サイトにログインし、振込みなどの操作を行うのを待ち構えて、その操作をした瞬間に便乗して(=正規の手順でログインした状態で)自分の口座への送金処理をバックグラウンドでやる
      なんて攻撃がありえます。これをやられたらどれだけ認証手段を強化しても無意味。

      一定のレベルまで認証などを強化することは、カジュアルなアタックを防ぐという意味から当然必要ですが、そこから先はむしろスパイウェアとかフィッシングサイトに引っかからないよう啓蒙する、というレベルの話になってくるのではないかと。

      親コメント
      • by Anonymous Coward
        その攻撃、1回目は成功する可能性がありますが、2回目以降はジャパンネット銀行などのSecurID採用
        サイトでは比較的困難ですね。そのために、他にもメール通知や一日あたりの御利用限度額、未登録先
        への御利用限度額設定などのより多層の防護があるわけです。
        ジャパンネット銀行は日本のネット銀行の中では比較的進んでいる方かと思います。

        もちろん、ユーザーへの啓蒙は必要です。しかし、それだけでは精神論に過ぎませんね。

        電気機器の防水処理の設計を行う際、”機器の内側に水を一滴も入れない”という思想と”万一多少
        入っ
        • by Anonymous Coward

          その攻撃、1回目は成功する可能性がありますが、2回目以降はジャパンネット銀行などのSecurID採用サイトでは比較的困難ですね。

          技術に疎い人はそう思っちゃうんだろうけど、ぜんぜん困難じゃない。中継して一部を書き換えるだけ。
          詳しくは以下をどうぞ。フィッシングの例で書かれてますが、スパイウェアも同じこと。

          対策にならないフィッシング対策がまたもや無批判に宣伝されている [takagi-hiromitsu.jp]

          • by Anonymous Coward
            ジャパンネット銀行を使ってから書こうね。

            あなたの示すURLにジャパンネット銀行の件が書いてありましたか?
            SecurIDの脆弱性が書いてありましたか....。

            1度目が成功しても2度目が成功しないという意味を把握できていますか?
            Man In the Middle Attackの成功の可能性を否定していないんですよ。素人の揚げ足取りは困ります(笑)。
    • 三井住友銀行なんか、ATMで入金するのに手数料取るんだぞ。
      入れて欲しくないのか!?
      手数料欲しいほど手間かかるんなら入金なんかしてやらねーよ。

      まあ、そういう銀行だって言いたかっただけ。
      ゴメン。
    • by Anonymous Coward
      >三井住友銀行もひどいですね。SecureIDがオプションサービスで月100円とか、入出金の

      金さえ払えば大手都銀で唯一セキュリティをまともに出来る所なんだから大目に見てあげないと。
      他はメール通知ができなかったり、ワンタイムパスワード使えなかったり。

      同じSMBC系のジャパンネット銀行はデフォルトでトークンも配っていて、メール通知もあるけど口座維持手数料があるし。

      • JNBは口座維持手数料無料プランがいくらでもありますし。
        ヤフオクやってる人ならヤフオクの口座をJNBにするのが一番楽ですね。
        --
        morikun
        親コメント
        • by Anonymous Coward
          勝手に補足だが、口座維持手数料無料プランつかわなくても、10万円入れておけば引き出さない限り凍結しておいても無料なのでよほどのことがない限り無料で使える。
          • by Anonymous Coward
            そういえば、大抵の銀行では残高0円の講座から口座維持手数料を引くことはないそうな。

            銀行にもよるだろうけど、口座維持手数料引き落とし日の前日に口座を空にして、引き落とし日を越えたら入れ直す、で対応可能。
    • by Anonymous Coward
      でも銀行以上にセキュアなサイトってどこなんでしょう?

      • by Anonymous Coward
        野村證券の電子証明書方式によるホームトレードサービスが(システム上は)日本
        最強ではないでしょうか。野村證券のサイトにログインすることで、関連会社の
        野村信託銀行のオンラインサービスも利用できます。

        もちろんブラウザの電子証明書周りに脆弱性があれば即死です、念のため。
        スパイウェアに電子証明書を抜かれないかというのも心配です。
        さらにSecurIDトークンの併用が出来るようになると良いのですが。

        • by Anonymous Coward

          スパイウェアに電子証明書を抜かれないかというのも心配です。 さらにSecurIDトークンの併用が出来るようになると良いのですが。

          マルウェアに侵された状態を前提とするなら、SecurIDを用いても無駄ですよ。

          どうも技術的に疎い人は、「情報盗む」という概念は理解できるものの、乗っ取られるという概念は理解しにくいようですね。

    • by Anonymous Coward
      >> 彼曰く”僕は怖いから(ネットバンキング利用可能な)登録しませんよ。”と。
      >> そこらへんにすべてが集約されているのだと思います。

      どの職の方も思っている(と私は思っている)ことで
       ”僕は怖いから自分の会社で運営されているサービスは利用(登録)しませんよ”
       ”自社製品は製造工程を知っているから買いませんよ”
      と結局同じなんですかね.
      お金に絡むか否かの違いはあるけれど(←これが一番大事な点だから問題?)

      ## ACで
  • n-Proなどを使って安心している時点で程度が知れるという物かとおもいますが、
    銀行関係者、特に重役などにはネットワーク関係のセキュリティ知識がある人が少ないのです。
    それ故、実効性より宣伝的に有利に働く方法を選んでいるという面があります。
    --

    ψアレゲな事を真面目にやることこそアレゲだと思う。
  • むしろ、日本ではもっとダメなようにも思います。

    論文 [cmu.edu]にてきとーに目を通してみました。

     以下、INTRODUCTION より抜粋。
    #英語MANが読めるぐらいなら軽く読めるかと思います

    1. Break in the chain of trust:
    Some websites forward users to new pages that have different domains without notifying the user from a secure page. In this situation, the user has no way of knowing whether the new page is trustworthy.

    2. Presenting secure login options on insecure pages:
    Some sites present login forms that forward to a secure page but do not come from a secure page. This is problematic because an attacker could modify the insecure page to submit login credentials to an insecure destination.

    3. Contact information/security advice on insecure pages:
    Some sites host their security recommendations, contact information, and various other sensitive information about their site and company on insecure pages. This is dangerous because an attacker could forge the insecure page and present different recommendations and contact information.

    4. Inadequate policies for user ids and passwords:
    It is important to maintain consistent and strong policies on passwords and user ids. We found some sites allow customers to use short passwords or they require e-mail addresses for user names.

    5. E-Mailing security sensitive information insecurely:
    E-mailing any sensitive information is dangerous. We found that some sites offered to send statements and passwords through email but not very many people have secure e-mail.


        1. Break in the chain of trust:
        2. Presenting secure login options on insecure pages:
        3. Contact information/security advice on insecure pages:

     以上3点に問題がない銀行ウェブサイトがどれだけあるでしょうか…。どれかが引っかかる、あるいは、全部ひっかかるのでは?

     それらを満たしていないことによって、以下のようなことが起こりえるでしょう。

    ・普段使っているインターネットバンキングのログインページ(https:~)をブックマークから開いたが繋がらず
    /* 経路上で阻害されていたり、hostsファイルを改竄されていたり */
    ・どうしたのだろうと思い、その銀行のWebサイト(http:~)を開く。インターネットバンキングの設定変更を促すお知らせ(http:~)があり、そこからリンクを辿ってログインページ(https:~)を開き、ログイン
    /* 銀行のWebページが経路上で改竄されたりそもそも別サイトに繋がっていたりして、罠のログインページに誘導された。罠サイトの証明書自体が正式な物ならば、SSL関連の警告は出ない(*) */
    →ID・パスワード・乱数表などを取得される。ワンタイムパスワードの類であっても、振り込み操作に割り込まれて意図しない口座への振り込み等が行われる

     逆に、それらを満たしていれば、改竄や罠サイトへの誘導に気づくチャンスがあります。チャンスがあるだけなので、注意していなければ気づかないかもしれませんが。

    *:SSL関連の警告は出ない
     EV SSLと対応ブラウザなら、運営者が異なっていたり罠サイトがEV SSLに対応していなかったりで、気づくかも。
  • Windowsでしか利用できないのが普通だって時点で
    そういうサービスに、興味を持つ価値が無いと思ってはや数年。

    そもそも、そういう状況は変わったのでしょうか?

    #口座残高面でも有用性が無い気がする
  • by Anonymous Coward on 2008年07月28日 8時22分 (#1391718)
    SSL(クライアント認証なし)を使っていても、その上でFORMのパスワードしか使っていない時点で安全ではないですよね。
    クライアント認証ってUSBキーなんか使えば案外簡単ではないかと思うんですが。
    • by Anonymous Coward
      > クライアント認証ってUSBキーなんか使えば案外簡単ではないかと思うんですが。

      そう簡単じゃないでしょう。

      ブラウザでクライアント認証できます?プラグインでしょうか。動作するブラウザは制限されそうです。
      ブラウザでなく専用アプリケーションを用意する?Mac OS Xやその他プラットフォーム対応はどうしましょう。
      職場などではUSBインタフェースの使用が制限されている場合もありますね(職場で銀行のWebサイトを観る云々は別として)。
      • by Anonymous Coward
        今時SSLのクライアント認証に対応してないブラウザを捜すほうが難しいと思うが。。

        ただ、すでにそういう仕組みを取り入れている公的個人認証 [wikipedia.org]の普及具合と環境依存具合を考えると
        そう簡単でないというのも頷ける話ではあるけど。
        • by Anonymous Coward
          JPKIの環境依存性は、クライアント認証ではなくICカードのせいだと思うです
  • by Anonymous Coward on 2008年07月28日 18時26分 (#1392150)

身近な人の偉大さは半減する -- あるアレゲ人

処理中...