三井住友銀行がネットバンキングでワンタイムパスワードを導入へ 66
ストーリー by hylom
ネットゲーマーにはおなじみのアレ 部門より
ネットゲーマーにはおなじみのアレ 部門より
三井住友銀行が、ネットバンキングにおいてワンタイムパスワードの導入を行うとのこと(MSN産経ニュース)。ワンタイムパスワードはオンラインゲームのログイン認証などでは広く普及しているが、国内の銀行で本格的に導入されるのは初めてという。
新規契約者だけでなく、既存の契約者も対象。パスワードを生成するデバイスはカード型電卓のような形状をしており、60秒ごとに使い捨てのパスワードを生成するもの。顧客に対し無料で配布されるという。近年ネットバンキングを狙った攻撃が増えていることからの導入のようだ。
元、中の人です。 (スコア:5, 参考になる)
SMBCは、既にワンタイムパスワードの導入をしています。
http://www.smbc.co.jp/kojin/otp/ [smbc.co.jp] (んで。この時、この仕事に関わっていました)
モジュール提供がどーこーとか。上の方でトラブルあったなー。懐かしいなぁ。
なもんで「三井住友銀行がネットバンキングでワンタイムパスワードを導入へ」とタイトルが見えた時は、ちょっと話が理解できなかったのですが。
元記事は「三井住友銀行が『パスワードカード』を導入」ですね。
今までの選択(第一暗証に、OTP追加)ではなく置換え。 つまり強制となって、オンラインバンキングでの第一暗証の廃止となるわけです。
ここまで話を説明して、やっと「国内の銀行で本格的に導入されるのは初めて」と言えます。
ところで疑問が2点湧いてきました。まだトークン利用者の扱いを、どうするのか発表されていないこと。そして、RSA社からVASCO社に切り替えた理由は、何か。です。
まあ前者については、2種類の番号打ち込んでいる最中に、次の番号になってしまった時の救済処置とかいろいろやりようはあるんですが…・…。
ふつー利用者立場からすれば。そんな2種類の端末用意して、乱数打ち込むの……あまり納得しませんよね。
Re:元、中の人です。 (スコア:2, 参考になる)
>RSA社からVASCO社に切り替えた理由は、
値段と海外金融機関での実績も十分あるからじゃね?
昔リモートアクセスシステムの認証にワンタイムパスワード検討した時、
圧倒的にVASCOが安かったよ。
つーか
>国内の銀行で本格的に導入されるのは初めてという。
ジャパンネット銀行ってはじめからRSAのワンタイムパスワード使ってるよ。
Re:元、中の人です。 (スコア:1)
> ジャパンネット銀行ってはじめからRSAのワンタイムパスワード使ってるよ。
ですね。
SONYBANKも希望者のみですが使ってます。
Re: (スコア:0)
はじめからではないですよ。
導入されたのは2006年で、それ以前はワンタイムパスワードなしで取引していました。
Re:元、中の人です。 (スコア:1)
何年か前に、OTPトークンの要件として洗濯に耐えることが挙げられてた案件があったような覚えがあるけど、これのことだったのかな?
Re:元、中の人です。 (スコア:1)
置き換えられるのは「乱数表方式の暗証カード」(第二認証)なので、第一認証でなく第二認証が置き換えられるはずです。
既存のワンタイムパスワードはインターネットバンキングでの第一認証で併用するものなので、以下のどちらかのパターンになると思われます。
・第二認証がワンタイムパスワードになり、オプションで第一認証にもワンタイムパスワードを使えるようになる。
・第二認証がワンタイムパスワードになり、第一認証のワンタイムパスワードは廃止される。
Re: (スコア:0)
Re:元、中の人です。 (スコア:1)
守秘義務だからということで
貝のようになにも語ってくれないよりは
余程有り難いです。
少なくともあんた呼ばわりするコメントよりは
有益かと存じます
Re:元、中の人です。 (スコア:1)
同感です。
どこまでがOKかは難しいラインですけど、
この話のどこに問題が在るかがさっぱりわからん。
最初の情報が公開されていることだったので、
ムキになって反論しているようにしか見えない。
Re: (スコア:0)
守「秘」義務……上の方でトラブルがあったこととかは、自分は知らなかったから秘密かな?
あと、「RSA社からVASCO社に切り替えた」辺りとかは公開されてるんだろうか。
Re:元、中の人です。 (スコア:3, 参考になる)
あと、「RSA社からVASCO社に切り替えた」辺りとかは公開されてるんだろうか。
おもいっきり公開されてるよ。
http://www.smbc.co.jp/kojin/otp/otp_security.html [smbc.co.jp]
http://www.smbc.co.jp/news/pdf/j20130909_01.pdf [smbc.co.jp]
Re: (スコア:0)
現在でもサービスとしてOTPを提供しているのは言うまでもなく公知の事実ですし、
トラブル云々もまったく具体性がないので、問題ないのでは?
ジェネレータのベンダーだけはちょっとくさい情報、という気もしますが
Re: (スコア:0)
真っ当な社会人だったら業務上知り得た情報をやたらと口外しないもんだろjk
Re:元、中の人です。 (スコア:1)
「業務上でしか知り得ない情報」の方が正確かな。
むしろ、そこらの線引きが曖昧な情報を吐き出すことを可能にさせようとするのが、元々のACというシステムの主旨だと思う。
それがなければ、スラドにACなんて無くしてしまった方がいいと思うよ。
Re: (スコア:0)
Anonymous Cowardがまっとうな社会人のはずないだろ!いい加減にしろ!
Re:元、中の人です。 (スコア:2)
> Anonymous Cowardがまっとうな社会人のはずないだろ!いい加減にしろ!
そうではなくて
この仕事に関わった人が業務上知り得た情報を口外してはいけないと注意されているんだよ。
Re: (スコア:0)
と口外するのはOKなのか?
Re: (スコア:0)
> この時、この仕事に関わっていました
これはアウトです。
Re: (スコア:0)
こういうのって中の人といいつつ直接関わってた本人じゃなくてその近辺にいた人物だったりするけどなぁ。
Re:元、中の人です。 (スコア:1)
「中の人」の「中」が分かりませんからね。
ATMの中に入って一所懸命枚数数えてた人かもしれませんし。
Re: (スコア:0)
お前が中の人というのは公開されていないわけだが。
Re: (スコア:0)
その「お前」が誰かわからんのに。
俺前職で、大統領のシークレットサービスやってたんだぜ。。。
ぐらいの内容でしょ。
ACにいちいち噛み付くな。
ただのワンタイムパスワードには興味ありません (スコア:4, 興味深い)
jbeef先生曰く、これはただのワンタイムパスワードじゃないそうですよ。
https://twitter.com/HiromitsuTakagi/status/377069802289782784 [twitter.com]
Re:ただのワンタイムパスワードには興味ありません (スコア:1, 参考になる)
詳細が出てこないので断言はできないけれど、
ニュースリリースにある「中間者攻撃と呼ばれる高度な不正取引も防止可能です」という点が、
恐らくは(正確には中間者攻撃ではなくて)MITB対策を指しているってことだろうね。
ワンタイムパスワードではそのトランザクションをPCで改ざんするMITBは防げない、という点が近年問題になっていたけれど、
(OTPと振込先のセット情報を、ブラウザで振込先だけ情報を改ざんして渡す、なんてやられると防御できない)
それへの対応を視野に入れたデバイスの普及を進めたという点での評価かと。
Re: (スコア:0)
時刻同期のOTPだけじゃなくチャレンジ=レスポンスに対応可能なので
トランザクションの改ざんを防ぐことが出来るということかな?
Re: (スコア:0)
何で従来のOTPと違ってMITBを防げるのか詳しい人教えて貰えんでしょうか。
Re:ただのワンタイムパスワードには興味ありません (スコア:1)
具体的な実装方法は分からないので、単純に「パスワードカードでMITBを防ぐ一例」という話。
このパスワードカードだと情報を暗号化させることが可能なので、
例えば振込情報を入力するときに「どの口座に」「おいくら万円」といった、
安全に扱いたい情報をパスワードカードに入力して暗号化させる。
そしてその暗号化した情報を入力する、という方法にすると、PCでは情報を改ざんできなくなる。
Re: (スコア:0)
殆どのOTPドングルはボタンを押すとそのときの時刻に合わせた番号が生成表示される(あるいは常時表示されている)だけだけど、
SMBCのこれはテンキーが付いている故に、チャレンジレスポンス方式をとれるから、ではないのかな
(インターネットバンキングシステム側で乱数番号を表示させ、それを人間にテンキーを叩かせて、
表示された番号コードをインターネットバンキング側に入力させる)
Re: (スコア:0)
#2458122で書かれているような、例えば、
「オンラインバンキングのページで入力された振込先を不二子ちゃんの銀行口座に勝手に書き換えるアドオン」が
ブラウザに潜んでいた場合、その方法で防止できる?
Re:ただのワンタイムパスワードには興味ありません (スコア:1)
乱数だともちろんダメでしょうけど、極端な例で言えば
「振込先口座の銀行コード+支店番号+口座番号」をテンキーで入力させればよい。
セキュリティをもう少し緩めて利便性を高めるなら口座番号の入力のみとかでも
任意の口座への振り込みはかなり防げるはず。
Re: (スコア:0)
5,000円くらいならいいですか?
Re: (スコア:0)
> Man-in-the-Browser
ブラウザの中の人か
Re: (スコア:0)
あれ?職場変わったからblogやめたと思っていたのに
twitterは続けていたのか?>jbeef先生
どういう基準だ
Re:ただのワンタイムパスワードには興味ありません (スコア:2)
そのため専用だったブログは休止
専用ではないTwitterは維持
ってだけじゃないの
国内銀行で初め、て、、、だと? (スコア:3, 参考になる)
ジャパンネットバンク銀行は国内の銀行じゃないのかな・・・。
すごく前からRSAのワンタイムパスワードトークン使ってますが。これ使わないと何も出来ない。
キーホルダー型なのでSMBCのカード電卓みたいなのより持ち運びしやすいし・・・。
ネット専業銀行は除く、って話なんだと思うけど米印ついてないよw
Re:国内銀行で初め、て、、、だと? (スコア:1, 興味深い)
国内初という表現は『本格的に使い捨てパスワードを導入するのは国内の銀行では初めて。』の部分。
で、気になるその”本格的に使い捨てパスワードを導入するのは”の意味はどうなのか?と思ってさらに読むと『従来の乱数表方式の暗証カードを廃止し、パスワードカードに切り替える。新規契約者のほか、既存契約者も順次こちらに変更してもらう。同カードは無料で配布する。』とある。
たぶん、”現行方式を廃止+既存契約者にも変更させる”あたりの”本格的”っぷりが、国内初だと言いたいんじゃないかと。
逆に後発っぷりが強調されてる感じがなんとも・・・・
Re:国内銀行で初め、て、、、だと? (スコア:3)
ジャパンネット銀行は、確か10年以上前からワンタイムパスワードを導入していたと思うが、三井住友はあの乱数表をやはり10年以上前から続けていると思う。
あの小さな乱数表、4桁の暗証番号に比べればマシだけれども、正直、大差ない。あれを今まで続けていたことの方が、金融機関として恥ずかしいのではないか。(他の大手都市銀と大差ないからOKといったレベルの判断か?)
それに、ジャパンネット銀行は三井住友の出資比率が59.70%の子会社。何でノウハウの共有ができないのか、それも気になる。
Re: (スコア:0)
三井住友は2006年からオプションではありますがワンタイムパスワード導入してますよ?
めんどくさいなぁ (スコア:1)
ワンタイムキーデバイスのコストも気になるところです。
金利また下がるのでしょうか・・・orz
セキュリティ的に、採用した方式の方が安全だろうというのは理解できますが・・・
Googleの2段階認証の様に、ATMや、ネットバンキングを操作した際に、
携帯にSMSでワンタイムキーが送信されてくる方式にして持ち歩くデバイスを最小限にして欲しいです。
#携帯ガジェット好きの3キャリアスマホ+タブレット持ちユーザより。
#さすがにこれ以上はポケットが溢れる、
Re:めんどくさいなぁ (スコア:5, すばらしい洞察)
> ワンタイムキーデバイスのコストも気になるところです。
銀行がセキュリティにコストをかけるのは当然であってほしいなあ。
Re: (スコア:0)
個人的には、
従来の暗証カードの代わりなのでこれを持ち歩くケースはほぼないし、
暗証カードのセキュリティにはうっすらと不安を感じていたので歓迎だなあ。
# SMBCはいつの間にかワンタイムパスワードも無料になっていたのか
Re: (スコア:0)
>携帯にSMSでワンタイムキーが送信されてくる方式にして持ち歩くデバイスを最小限にして欲しいです。
本気ですか?ギリギリの時刻や、メール遅延やキャリア側の障害はどうするのですか?
みずほ銀行がこの方法を導入予定です。上記の件を問い合わせていますが、いまだに回答はありません。
Re:めんどくさいなぁ (スコア:1)
オンラインバンキングってそういうもんじゃないの?
メリットデメリットは仕方無いと思うけど。
Re: (スコア:0)
人それぞれめんどくさいポイントが違うってことだね。
今回のSMBCの案とreichi氏の案を比較すると、
管理デバイスが増えることをめんどくさいと思うか、携帯電話に依存することをめんどくさいと思うかの差。
俺は後者の方がめんどくさいが、違う人もそりゃいるだろう。
色々な手法から利用者にとって最も安全なものを選べるのがベストなのかと思うけど、
今回は暗証カードに対する攻撃へ早急に対応する必要があったので、
第一歩として利用者の環境になるべく依存しない方法を取ったSMBCのこの対応は正解だと思う。
Re: (スコア:0)
利用者のことをまるで考えてないやつってこういうことばかり言うよな
代替策とか自分なりの提案があるならそういう意見も歓迎だけど、ダメ出しだけして仕事してる気になってないか?
ナンバーパッドは何のため? (スコア:0)
入力部分のあるOTP生成デバイスは初めて見たのですが、
このタイプを使っている人がいたらどう使うのかお教えいただけませんか。
「1」のボタンの色が違う点も含めて気になります。
Re: (スコア:0)
公式のニュースリリースによれば。
紛失に備えた「カード起動パスワード」の入力部のようですね。
しかし確かに、「1」だけ色が違うのがよくわかりませんねぇ。
http://www.smbc.co.jp/news/j600777_02.html [smbc.co.jp]
Re: (スコア:0)
目が悪い人向けとかかなぁ。
テンキーって左下が1の場合と左上が1の場合があるから、
手に持った状態で数字を目視できない人には大変かも知れない。
ああでも、結局液晶部の文字を読めないと意味がないか……。
Re: (スコア:0)
パスワードのためのパスワードか。
めんどくせぇw
忘れて使えなくなるやつ、続出の予感。
この辺がきっかけか。 (スコア:0)
三井住友銀行のインターネットバンキングで新たな不正画面の表示を確認、不正送金被害も
http://security.srad.jp/story/13/08/16/2138222/ [srad.jp]
インターネットバンキングで正規サイトにログオン後、不正なポップアップ画面
http://security.srad.jp/story/12/10/28/040225/ [srad.jp]