みずほ銀のネットバンキングサービスで登録アドレスを携帯メールに変更するよう呼びかけ 51
ストーリー by hylom
そもそもメールの中身は常に第三者に閲覧される可能性があるのですが 部門より
そもそもメールの中身は常に第三者に閲覧される可能性があるのですが 部門より
あるAnonymous Coward 曰く、
フィッシングやキーロガーによる銀行口座の被害が多発していることへの対策として、みずほ銀行が同社のネットバンキングサービス「みずほダイレクト」利用者に向け、スマートフォンや携帯電話のメールアドレスを登録するよう注意喚起を行っている。
お使いのパソコンがウィルス等に感染している場合、お送りしたメール内容が第三者に盗み取られる可能性がございます。特に、フリーメール(無料でアカウントを取得できる電子メールサービス)はID・パスワードなどを第三者に不正に利用される可能性も高いため、ご登録なさらないようお願いいたします。
とのことで、Webメールはセキュリティが弱いといった理由からのようだが、だから携帯メールに変更しろというのはどうなのだろうか。
なお、みずほ銀行(@e-mail.mizuhobank.co.jp)を騙ったメールというのも出回っているそうなので、このメールが信頼に足るものなのかどうかも悩ましいところである。
登録メールアドレスがフリーメールになっている利用者にはスマートフォン/携帯電話のメールアドレスを登録するよう促すメールが届いている模様。とはいえ、スマートフォンのセキュリティについても問題となっている現状、PCとどちらが危険かは判断が難しいところである。
それはタレコミの解釈が違うような (スコア:5, 参考になる)
>登録いただくメールアドレスは、受信後すぐにご確認いただけるよう、
>スマートフォンや携帯電話のメールアドレスをご登録ください。
>第三者による不正利用が発生した際の、早期発見につながります。
と書いてある。
スマホや携帯なら手元にあって確認しやすいと考えているということでしょう。
みずほはやってないけど、他の銀行では複数のメールアドレスを登録できるところもあるので、
そういう方法もありではないか。
それ以外にも、みずほのパスワードは
>アルファベットと数字を組み合わせた6桁~32桁のパスワードを入力
となっているけど、
三菱東京UFJみたいに
>半角英数字と半角記号の組み合わせで8桁以上16桁以内でご入力ください。記号は必須です。
>利用可能な記号は # $ + - . / : = ? @ [ ] ^ _ ` | です。
にするとか、やるべきことは他にもあるとは思うけど。
Re:それはタレコミの解釈が違うような (スコア:5, おもしろおかしい)
なんとなく
「みずほ銀行のネットバンキングはセキュリティに不安があるので客は十分自衛して使ってくれ」
って銀行が言ってるように受け取れてしまいますね。
ということで、みずほ銀行のネットバンキングは危ないので使わないが正解。
Re: (スコア:0)
セキュリティはどうかわからないが、システム周りのごたごたを見ていると、使っていてドキドキします。
#使うなよ。
Re:それはタレコミの解釈が違うような (スコア:4, 参考になる)
いっぺん統合作業かなにかのメンテ失敗してエライコトになってたんでしたっけ。
以前GW連休前にみずほATMから旅行の軍資金降ろそうとしたら途中で無反応・・・
と、いきなりガコっとATMの筐体が凹んでユニットごと奥に引っ込んで新手の詐欺にでも引っかかったのかとパニクッて横にあった電話で話したら「システムに異常が出たので調べてます。お引き取りください」とのこと。
お金降したいんだけど今の手続きはどうなった?と聞いたら
「手続きは完了しています」とのこと
って、お金出てきてないよと言うと
「連休明け一週間くらいで口座に戻します、手数料も取りません」
って、今お金が必要でもう口座にあんまり残ってないよとごねても「すみません、お引き取りください」しか言わなくて脱力のGWが始まったという黒い記憶がよみがえった。
#細部はたぶん色々間違って覚えてるけど大筋はあってます。
Re: (スコア:0)
さっさとOTP必須にしろよ、でFAだと思ってる。
そのころ三井住友銀行は (スコア:1)
今年10月よりワンタイムパスワードトークンの利用料無料化を実施
Re:そのころ三井住友銀行は (スコア:1)
Re:それはタレコミの解釈が違うような (スコア:1)
> さっさとOTP必須にしろよ、でFAだと思ってる。
OTPはフィッシング対策としてはまったくもって不十分です。
フィッシング側でOTP入力を本物のサーバーにリレーする(MITM攻撃)と簡単に破れるので。
またスマホや携帯のブラウザだと、URLバーのアドレス確認が面倒くさいので、PCよりも
フィッシング攻撃に弱い側面もありますね。
Re:それはタレコミの解釈が違うような (スコア:1)
でも、フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
Re: (スコア:0)
> フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
えー?
「ブラウザのURLバーをしっかり確認する」でFAでは?
リテラシーとして、これは必須だし、今のところ十分な対策でしょう。
(国際化ドメイン名とR2Lでフガホゲとかは懸念材料ですが、まだ聞いたことはない)。
OTPに比べても穴が少ない上、安価。
Re: (スコア:0)
「ブラウザのURLバーをしっかり確認する」で何が確認できるんだ。(ブラウザやプラグインのチェック機能の結果を確認?)
URL見ただけで正しいものと正しくないものを十分な精度と範囲で区別できる人間がいるとは思えない。(ごく限られたもののみになるのではないか?)
だいたいURLを偽装する(URLそのものの偽装ではなくて、接続先を偽装する事も含む)のは最初の一歩だと思うのだが
Re: (スコア:0)
ちょっと何言ってるのか本気でわからない。
誰か翻訳おねがい
Re:それはタレコミの解釈が違うような (スコア:1)
http://takagi-hiromitsu.jp/diary/20041215.html [takagi-hiromitsu.jp]
でリンク、引用してるようなURLのドメイン部分確認作業のことでしょ。
高校あたりで教えなきゃいけない常識だよね、これ。
R2Lは、RLOの別名。「RLO 対策」でググれば分かると思う。
Re: (スコア:0)
あ、本気でわからないってのは、#2501430 のポストの方か。
スラドでもリテラシー教育を否定するタイプはいるってことでは?
銀行のような重要サイトなら、EV-SSLな証明書とってるだろうし、
その確認なら、高校生程度の教養と、適切なリテラシー教育があれば、
殆どの人ができると思うけどねえ。
Re: (スコア:0)
そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。
#お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?
URLが正しいとしても、名前解決、ルーティングに手を入れられている可能性はないのか?
#フィッシングは不特定多数相手とは限らない
Re: (スコア:0)
> そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。
もちろん、その話をしてますよ。
旧来のSSL証明書にある、その問題を解決するために、EV-SSL証明書が導入されたんですよ。
「携帯電話メールを使う」なんていう筋の悪い教育をするのではなく、EV-SSL証明書について
説明するのがまっとうな解決でしょう。
> #お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?
EV-SSL証明書を使っていれば、そこまで正確に覚える必要はありません。
たとえば
https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001 [bk.mufg.jp]
にアクセスして
Re: (スコア:0, おもしろおかしい)
情弱とかお花畑とか書き込む人は日常的に2chの複数のスレッドを荒らしてる
ソースはないけど結構自信あり。
Re: (スコア:0)
自己紹介ですね。
わかります。
Re: (スコア:0)
Re: (スコア:0)
Re:情報弱者って怖いわ (スコア:1)
256文字フレーズ途中で間違っても修正もできず最初から入力とか。
修正できたとしても入力と確認だけで疲れるな。
ATMでそれやられると昼休みに並んでたら順番回って来なかったりして。
Re: (スコア:0)
ほんとに堅牢なの? 辞書攻撃の延長であっさり抜かれるんじゃないかと思ってたんだけど、エントロピーで44bitって何を根拠に言ってるんだろう(単なる興味です)。
Re: (スコア:0)
使用する単語数を2048(2^11)個とすると、ランダムな4単語の組み合わせで2^44ってことでしょう。でも、攻撃者の利用する辞書のサイズ次第なので、辞書のサイズが256(2^8)ぐらいで、運悪く、その中に使用した単語がすべて含まれていたら、2^32だから、リンク先の計算だと50日くらいしか持たないよね。
そういう、偶然によるクラックを避けるためには、もうひと工夫は必要だし、不幸にしてパスワードの1つが漏れた時に連鎖的にやられないよう、生成ルールはアカウントごとに違っているのがベター。
Re: (スコア:0)
リンク先にあるような
uncommon (but *non* gibberrish) なbase word にcommon substitutionを施して~ ってな方法は一般的なのか?
三菱東京UFJ方式での8桁でも、でたらめな8桁であれば2^44より2桁ほど多い組み合わせになるんじゃね?
どっちが覚えやすいかは知らんが
>大文字小文字、数字に記号まで混ぜてパスワードこさえるより、単純にパスワードの長さを長くした方が堅牢であるという事実が理解できてない。
あまりに簡略化しすぎ
じゃあスマホや携帯電話も危なくなったら (スコア:3)
みずほ銀行以外に変更してくださいとかになるんですかね
Re: (スコア:0)
直接銀行に来てログインしてくださいとなります
フィッシングを防ぐにはSSLなどの電子証明書を確認するのが重要 (スコア:3)
例えば、「スマートフォンや携帯電話のメールアドレスを登録するよう注意喚起」
と言うメールが届いたとしよう。
メールの送信者は簡単に偽装できるのであてにならない。
webサイトへ誘導するようなリンクなどがあったら要注意だ。
注意勧告に見せかけて実際はそれ自体がフィッシングの可能性がある。
その場合、リンク先の電子証明書をちゃんと確認しよう。
かなり高い確率でフィッシングを防止出来る。
では実際練習してみよう。
まずこのタレコミのリンクさきを開いて証明書を確認してみよう。
アクセス先のドメインと証明書のドメインが一致したら登録者の情報を見てみよう。
ちゃんとみずほ銀行になっていることを確認できたかな?
Re:フィッシングを防ぐにはSSLなどの電子証明書を確認するのが重要 (スコア:1)
みずほ銀行からのメールマガジン等への電子署名の付与について
http://www.mizuhobank.co.jp/crime/smime/index.html [mizuhobank.co.jp]
リンク先の証明書を確認ってもちろんギャグですよね?
Re: (スコア:0)
なお、確認できなかった場合は、自動的にマルウェアがインストールされます。
Re: (スコア:0)
そもそもメールを鵜呑みにしちゃダメだと思う。
本当に大事なお知らせだったらWebサイトでも同様に告知されている筈だし。
しかし、そのWebサイトが本物である保証はないけどね。
金融取引にはOS標準のブラウザを、JAVAもアドオンもプラグインも入れずにつかって、ブックマークを頼りにアクセスするようにしてる。
(他のサイトを見る時にはChromeとか使う)
でも公式サイトが犯されていたら意味ないなーとか思って見たりする。
S/MIME署名とワンタイムパスワード (スコア:1)
みずほダイレクトやみずほマイレージクラブからのメールはちゃんとS/MIME署名がされてるので、差出人がみずほ銀行であると保証されていること、通信経路上で内容が改竄されていないことはPCのメールソフトなら容易に検証できる。
だが、スマートフォンや携帯電話のメールソフトでS/MIME署名を検証できるのってあるのか?
せっかくの署名が無意味になっちまうから、何度かメアド変更要請来てるけど無視してPCメールのままにしてる。
> 現在ご登録いただいているフリーメール(Yahoo!メール、Hotmail、Gmail等)は、PCがウィルスに感染すると、第三者がメール閲覧用のIDおよびパスワードを不正に入手し、当行より通知した認証用暗証番号を盗み取る可能性があり大変危険です。また、当該事象が起因すると思われる不正送金も発生しております。
使い捨てのワンタイムパスワードの受け取りだってPCメールで何の問題もないし。
むしろワンタイムパスワードトークンをダイレクト契約者全員に配布すればすべて解決。
Re:S/MIME署名とワンタイムパスワード (スコア:2)
>だが、スマートフォンや携帯電話のメールソフトでS/MIME署名を検証できるのってあるのか?
Blackberry では標準でできるみたいですよ。
参考 [blackberry.com]
Re:S/MIME署名とワンタイムパスワード (スコア:2, 参考になる)
>だが、スマートフォンや携帯電話のメールソフトでS/MIME署名を検証できるのってあるのか?
iOSはiOS5から標準でS/MIME対応してますよ。(送信も含めて)
検証を通ったメールの場合、送信者のところに鍵のかかったマークが付き、
改竄されていれば鍵が外れたマークが真っ赤になって付くのでよく目立ちます。
Re: (スコア:0)
>改竄されていれば鍵が外れたマークが真っ赤になって付くのでよく目立ちます。
自分で実験したんですよね?改竄されたフィッシングメールがドストライクだったんじゃないですよね?
Re: (スコア:0)
世の中、トークンがなんなのか、どうやって使うのか知らない人の方が圧倒的に多い。
面倒だって人までいる。
日頃からパソコンやネットやセキュリティの知識を付けてる人ならいいけど、一般にはなかなか受け入れられないよ。
最近はオンラインサービス各社が2段階認証を導入してるけど、まわりの一般層でセットアップしてる人がどれだけいるか。
Google、Facebook、Dropbox、Evernote、Microsoftなど、みんな対応してるんだけど。Twitterもあるけど日本は対象外orz
Re: (スコア:0)
> 面倒だって人までいる。
面倒だろ、実際。
あんなの利用者のためじゃなくて銀行が面倒に巻き込まれにくいようにやってるだけじゃん。
Re:S/MIME署名とワンタイムパスワード (スコア:2, 参考になる)
かなり以前からジャパンネットバンク銀行のRSA社のトークン使ってますが、すばらしく楽で便利ですが…。
効果が疑問な対照表使ったり、複雑すぎるパスワード求めたりするのに比べて、キーホルダーに表示される6桁の数字入れるだけのなんと楽ちんなことか。
採用していない銀行があることが信じられない思いなんですけどね…。
完璧ではないようだけど、それでも「複雑なパスワード」なんてものより遙かに強かろうし。
ログインパスワードは漏れたところで何もできない。
つまり覚えやすいパスワードでも良いので、トークン使った方が結果的に楽ですよ。
サービス形態によるメールアドレスの信頼性 (スコア:0)
楽天銀行も、携帯電話・スマートフォンのメールアドレスを推奨し、
@infoseek.jpを含めフリーメールを推奨していない。
http://www.rakuten-bank.co.jp/info/2013/130627.html [rakuten-bank.co.jp]
Re:サービス形態によるメールアドレスの信頼性 (スコア:2, おもしろおかしい)
楽天グループ自体がスパムメールの発信源のひとつであることを考慮すると、
楽天銀行自体推奨出来ない気がします。
#買い物毎にチェックボックスを外す手間を掛けさせるミッキーは万死に値する
(側近が幾ら言っても本人が首を縦に振らないそうな)
Re:サービス形態によるメールアドレスの信頼性 (スコア:3, すばらしい洞察)
×楽天銀行自体推奨出来ない気がします。
△楽天銀行自体推奨出来ない。
○楽天自体信用出来ない。
と思ってしまってる。
Re:サービス形態によるメールアドレスの信頼性 (スコア:1)
楽天のスパムメールもひどいが、リクルート系もひどい
配信停止の設定をいくらやっても配信されてきて止まらないので
フィルタ設定でゴミ箱直行にしている
Re: (スコア:0)
どこぞの宅配便のなんたらサービスも、フリーメール禁止って言ってた。
G-mailが使えないから、サービスの利用自体を断念したわ。
Re:サービス形態によるメールアドレスの信頼性 (スコア:1)
ちょっと前まで、ケータイ・スマートフォンのキャリアのメールサービスがGMailだったりしたのにね。
今だと会社のアドレスがGMailっていう人も多そう。
ソフトバンクテレコムとか全日空とかね。
Re: (スコア:0)
Google AppsやOffice 365なんかの無料サービスもダメになっちゃうのかぁ。
仕事で使ってる人もダメか。それか独自ドメインにしたらOKになっちゃうのかな?中身一緒なのに。
Re: (スコア:0)
結局、実名というか身元とメールアドレスをガッチリ紐付けてる、そして日本の法律で身元に辿り着けることをみずほ銀行にとって信用できる所が保証しているかどうかじゃないかと。
で、フリーメールみたいな紐付けが怪しい所や海外企業が管理している所はダメと。
Re: (スコア:0)
ゆうちょ銀行によると、携帯電話・スマートフォンのメールアドレスはセキュリティが高いそうです。
http://www.jp-bank.japanpost.jp/aboutus/press/2013/abt_prs_id001004.html [japanpost.jp]
でもやっぱり、Willcom アドレスは弾かれるに決まっている (スコア:0)
「くっ! ドコモ!au!ソフトバンク!どいつもこいつもケータイメール!
なぜだ、なぜ奴を認めて、このおれを認めねえんだ」
Re: (スコア:0)
今どき出来ない銀行なんてあるの?
Re:そんなことより (スコア:1)
ネット取引が前提の銀行じゃなければ、口座ごとにインターネットでの取引を選択できるんじゃないのかな。