銀行ウェブサイトの大半はセキュアではない? 29
ストーリー by mhatta
今調べたらどうなんだろう 部門より
今調べたらどうなんだろう 部門より
pinbou 曰く、
本家/.の記事より。2006年当時、銀行ウェブサイトの4分の3以上には何らかの設計上の欠陥があり、顧客を金銭的損失や身元詐称の危険に晒していたことが分かった(Informationweekの記事)。米ミシガン大学のAtul Prakash教授らが2006年、214の銀行サイトを対象に行った調査で判明したもので、先週のSymposium on Usable Security and Privacyで発表されたという(論文[PDF])。あくまでアメリカの、それも2006年の調査結果とのことだが、日本でもあまり状況に変わりはないかもしれない。
各銀行の駄目出しをしてみる (スコア:5, 興味深い)
彼曰く”僕は怖いから(ネットバンキング利用可能な)登録しませんよ。”と。
そこらへんにすべてが集約されているのだと思います。
以前のパスワードひとつの新生銀行などはやられ放題でしたし、乱数表をつかっている銀行も大したことない
と思います。
特に住友信託銀行、ひどいですね。乱数表からの数字がログインや試行のたびに要求されるのですが、要求
されるのは乱数表10個のうちの2個。
しかも乱数は10個しかないうちの小さい順に2つという組み合わせなので、スパイウェアが入ったPCなら
あっというまに乱数全部ばれてしまいます。っていうか、ログインの時点では参照系しか必要ないから貴重
な乱数つかわせちゃいかんだろ。設計したやつ出てきて謝れ、という感じですかね。
口座番号とユーザーIDが違うところだけは評価しますが、その他の部分は最低です。
三井住友銀行もひどいですね。SecureIDがオプションサービスで月100円とか、入出金のメールサービスが
月100円ってセキュリティの根本的な部分ですのでそこで商売してどうするの?と思います。
ここも基本は乱数表で16個のマスからひとつ選ぶ形ですね。出来るだけ、無駄な乱数の消費が無いよう配慮
されていますが、所詮は16個の乱数表の世界です。知れています。SecureIDがオプションにある程ですので
確信犯なんでしょうね。
海外の銀行の話になりますが、SecureIDか、ワンタイムパスワードが主流です。
SecureIDもワンタイムパスワードの一種ではありますが、ほかに原始的なやり方として、”紙による”
ワンタイムパスワードってのがあるんですね。A4の紙にたくさんパスワードが印刷されていて、パスワード
ごとに小片に切れる形です。無くなりそうになれば次の紙を請求する感じですね。
よほど原理的に安全だし、シンプルなのかな、と思います。
Re:各銀行の駄目出しをしてみる (スコア:2, すばらしい洞察)
新生銀行も最近乱数表を採用しましたけど、ログイン時に要求するタイプです。
あとログイン時に口座の暗証番号も入れるようになってるんですが、これも疑問です。
なんというか、たくさん入力させれば強度が増すだろうという発想が
間違ってる気がします。
Re:各銀行の駄目出しをしてみる (スコア:1)
>あっというまに乱数全部ばれてしまいます。
スパイウェアが入ってるならその時点でもうアウトだと思うんですが。
なんて攻撃がありえます。これをやられたらどれだけ認証手段を強化しても無意味。乗っ取ったマシン上ではぶっちゃけ何でもできるわけだから、例えば、
一定のレベルまで認証などを強化することは、カジュアルなアタックを防ぐという意味から当然必要ですが、そこから先はむしろスパイウェアとかフィッシングサイトに引っかからないよう啓蒙する、というレベルの話になってくるのではないかと。
Re: (スコア:0)
サイトでは比較的困難ですね。そのために、他にもメール通知や一日あたりの御利用限度額、未登録先
への御利用限度額設定などのより多層の防護があるわけです。
ジャパンネット銀行は日本のネット銀行の中では比較的進んでいる方かと思います。
もちろん、ユーザーへの啓蒙は必要です。しかし、それだけでは精神論に過ぎませんね。
電気機器の防水処理の設計を行う際、”機器の内側に水を一滴も入れない”という思想と”万一多少
入っ
Re: (スコア:0)
技術に疎い人はそう思っちゃうんだろうけど、ぜんぜん困難じゃない。中継して一部を書き換えるだけ。
詳しくは以下をどうぞ。フィッシングの例で書かれてますが、スパイウェアも同じこと。
対策にならないフィッシング対策がまたもや無批判に宣伝されている [takagi-hiromitsu.jp]
Re: (スコア:0)
あなたの示すURLにジャパンネット銀行の件が書いてありましたか?
SecurIDの脆弱性が書いてありましたか....。
1度目が成功しても2度目が成功しないという意味を把握できていますか?
Man In the Middle Attackの成功の可能性を否定していないんですよ。素人の揚げ足取りは困ります(笑)。
オフトピだが・・・ (スコア:0)
入れて欲しくないのか!?
手数料欲しいほど手間かかるんなら入金なんかしてやらねーよ。
まあ、そういう銀行だって言いたかっただけ。
ゴメン。
Re: (スコア:0)
Re: (スコア:0)
処理コストを考えると、時間外には入金して欲しくないのでは?
ATMが24時間使えるなんて国は日本くらいですからねぇ。
Re:オフトピだが・・・ (スコア:1)
硬貨をジャラジャラ入れてもカウントするし。
=-=-= The Inelegance(無粋な人) =-=-=
Re:オフトピだが・・・ (スコア:1)
一体何を根拠に? 日本のATMの24時間化はアメリカよりだいぶ遅かったんですよ?
アメリカ 銀行 -地球の歩き方「成功する留学」 [studyabroad.co.jp]
まあ、トラブってるのか、昼日中に使用中止になってるのも珍しくはありませんでしたが。
-- う~ん、バッドノウハウ?
Re: (スコア:0)
金さえ払えば大手都銀で唯一セキュリティをまともに出来る所なんだから大目に見てあげないと。
他はメール通知ができなかったり、ワンタイムパスワード使えなかったり。
同じSMBC系のジャパンネット銀行はデフォルトでトークンも配っていて、メール通知もあるけど口座維持手数料があるし。
Re:各銀行の駄目出しをしてみる (スコア:1)
ヤフオクやってる人ならヤフオクの口座をJNBにするのが一番楽ですね。
morikun
Re: (スコア:0)
Re: (スコア:0)
銀行にもよるだろうけど、口座維持手数料引き落とし日の前日に口座を空にして、引き落とし日を越えたら入れ直す、で対応可能。
Re: (スコア:0)
Re: (スコア:0)
最強ではないでしょうか。野村證券のサイトにログインすることで、関連会社の
野村信託銀行のオンラインサービスも利用できます。
もちろんブラウザの電子証明書周りに脆弱性があれば即死です、念のため。
スパイウェアに電子証明書を抜かれないかというのも心配です。
さらにSecurIDトークンの併用が出来るようになると良いのですが。
Re: (スコア:0)
マルウェアに侵された状態を前提とするなら、SecurIDを用いても無駄ですよ。
どうも技術的に疎い人は、「情報盗む」という概念は理解できるものの、乗っ取られるという概念は理解しにくいようですね。
Re: (スコア:0)
>> そこらへんにすべてが集約されているのだと思います。
どの職の方も思っている(と私は思っている)ことで
”僕は怖いから自分の会社で運営されているサービスは利用(登録)しませんよ”
”自社製品は製造工程を知っているから買いませんよ”
と結局同じなんですかね.
お金に絡むか否かの違いはあるけれど(←これが一番大事な点だから問題?)
## ACで
銀行関係者に、セキュリティに詳しい技術者が少ない (スコア:1)
銀行関係者、特に重役などにはネットワーク関係のセキュリティ知識がある人が少ないのです。
それ故、実効性より宣伝的に有利に働く方法を選んでいるという面があります。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:銀行関係者に、セキュリティに詳しい技術者が少ない (スコア:1, おもしろおかしい)
Re: (スコア:0)
日本でも状況はあまり変わらない (スコア:1)
論文 [cmu.edu]にてきとーに目を通してみました。
以下、INTRODUCTION より抜粋。
#英語MANが読めるぐらいなら軽く読めるかと思います
1. Break in the chain of trust:
2. Presenting secure login options on insecure pages:
3. Contact information/security advice on insecure pages:
以上3点に問題がない銀行ウェブサイトがどれだけあるでしょうか…。どれかが引っかかる、あるいは、全部ひっかかるのでは?
それらを満たしていないことによって、以下のようなことが起こりえるでしょう。
・普段使っているインターネットバンキングのログインページ(https:~)をブックマークから開いたが繋がらず
/* 経路上で阻害されていたり、hostsファイルを改竄されていたり */
・どうしたのだろうと思い、その銀行のWebサイト(http:~)を開く。インターネットバンキングの設定変更を促すお知らせ(http:~)があり、そこからリンクを辿ってログインページ(https:~)を開き、ログイン
/* 銀行のWebページが経路上で改竄されたりそもそも別サイトに繋がっていたりして、罠のログインページに誘導された。罠サイトの証明書自体が正式な物ならば、SSL関連の警告は出ない(*) */
→ID・パスワード・乱数表などを取得される。ワンタイムパスワードの類であっても、振り込み操作に割り込まれて意図しない口座への振り込み等が行われる
逆に、それらを満たしていれば、改竄や罠サイトへの誘導に気づくチャンスがあります。チャンスがあるだけなので、注意していなければ気づかないかもしれませんが。
*:SSL関連の警告は出ない
EV SSLと対応ブラウザなら、運営者が異なっていたり罠サイトがEV SSLに対応していなかったりで、気づくかも。
それって僕にもつかえるものなんですか? (スコア:1)
そういうサービスに、興味を持つ価値が無いと思ってはや数年。
そもそも、そういう状況は変わったのでしょうか?
#口座残高面でも有用性が無い気がする
パスワード (スコア:0)
クライアント認証ってUSBキーなんか使えば案外簡単ではないかと思うんですが。
Re: (スコア:0)
そう簡単じゃないでしょう。
ブラウザでクライアント認証できます?プラグインでしょうか。動作するブラウザは制限されそうです。
ブラウザでなく専用アプリケーションを用意する?Mac OS Xやその他プラットフォーム対応はどうしましょう。
職場などではUSBインタフェースの使用が制限されている場合もありますね(職場で銀行のWebサイトを観る云々は別として)。
Re: (スコア:0)
ただ、すでにそういう仕組みを取り入れている公的個人認証 [wikipedia.org]の普及具合と環境依存具合を考えると
そう簡単でないというのも頷ける話ではあるけど。
Re: (スコア:0)
いまだにNetscape (スコア:0)
設定案内 http://www.mizuhobank.co.jp/direct/help/loginout/setting/index.html [mizuhobank.co.jp]
推奨 http://www.smbc.co.jp/terms/ [smbc.co.jp]