パスワードを忘れた? アカウント作成
10728093 story
セキュリティ

三井住友銀行のネットバンキングにおける「数字4桁の暗唱番号」の是非 59

ストーリー by hylom
ネット時代に数字4桁は安全ではない 部門より
あるAnonymous Coward 曰く、

三井住友銀行のネットバンキングでログインの際の認証に「数字4桁の暗証番号」が使われていることについて、疑問の声が出ている(三井住友銀行ネットバンクの暗証が数字4桁になった件 | 栗原潔のIT弁理士日記)。

三井住友銀行のネットバンキングでは、昨年10月よりログインや残高照会などの処理については数字4桁の暗証番号(第一暗証)で認証を行い、振り込みや解約などの情報についてはワンタイムパスワード生成機(「パスワードカード」)を使ったワンタイムパスワード認証を利用する形に変更されている。しかし、「第一暗証」には銀行口座のキャッシュカードの暗証番号と同一のもの、もしくは任意の数字4桁しか指定できない(三井住友銀行のヘルプページ)。その点がセキュリティ的に脆弱ではないかと指摘されている。

また、設定によっては登録済みの振込先に対し、パスワードカードなしでの振り込みも可能になってしまうという。それ以外の振込・振替などのお金の移動が発生する処理についてはワンタイムパスワードを使うから安心という考え方もあるが、実際のところはどうなのだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by iwakuralain (33086) on 2014年03月03日 17時32分 (#2555093)

    4桁でダメだから最高12桁までOKとかにしても
    利用者は4桁の数字を3回連続でいれて12桁とかにしちゃうもんさ

    • Re:大丈夫さ (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2014年03月03日 17時38分 (#2555101)

      そこは同じ数字を使えないようにすれば良いのですよ。
      #あれ、12桁?

      親コメント
    • by Anonymous Coward on 2014年03月03日 19時14分 (#2555163)

      Huluの登録のとき
      パスワードは8~255文字までで設定してください
      と表示されて、あらためて言われると255文字ってインパクトあるなーと思いました

      親コメント
      • by Anonymous Coward

        255バイトというと固定長のカラムに平文のまま保存しているんんじゃないかと心配になるな

  • by Anonymous Coward on 2014年03月03日 16時35分 (#2555045)

    タイトル間違ってますね>暗唱番号

  • by Anonymous Coward on 2014年03月03日 16時39分 (#2555050)

    新生銀行みたいにめんどくさすぎるよりはユーザ視点じゃね?
    #2回もロックで電話した。

  • 4ケタの暗証番号+ワンタイムパスワードの方が、英数字8文字のパスワードよりは
    セキュリティが高いと考えるので切り替えました。
    利用料もみずほなんかと違って無料だし。
    脆弱と考える人は、今まで英数字8ケタだったのが4ケタになってしまったので不安に
    感じるというだけで、具体的な脆弱性は示されていません。

    いやなら、ワンタイムパスワードカードを申し込まなければ従来通りなので、
    別にどうってことないと思いますが。
    • 自分の残高や取引明細「だけ」が,わざわざ不正アクセスしてまで手に入れるほど価値のあるような人には脆弱性なのだと思います.
      私にはそれは脆弱性ではないし,ログインごときでわざわざワンタイムパスを入力せんといかんのが前々から面倒だと思っていたので,この記事でこれを知って申し込みました.

      親コメント
      • by Anonymous Coward

        生年月日や住所電話番号も当然見られるでしょうし、さらに口座番号や残高といった情報は本人しか見ることができないと一般に認識されている情報が加わると、ソーシャルハッキングを仕掛けられたとき、ソーシャルな本人認証をくぐり抜ける為に使われるのでは。

        例の「@N」の件の時、クレジットカードの下4桁によってソーシャルな本人認証の突破口にされたようですし。

        • どういう情報が見えるかちょこっと見てみました.

          住所氏名性別電話番号が分かりましたが,
          生年月日はなぜか「ご登録あり」とだけ表示されて見えません.
          生年月日をパスワードにする人が多いからでしょうか.

          口座番号って本人しか見ない情報なんですかね?
          公開しても平気なものだと思ってました.

          取引履歴が見えるので給料が丸見えで残念な気持ちになりました.
          あと,普段考えないようにしてるローン残高を見てしまって憂鬱になりました.

          親コメント
          • by Anonymous Coward

            > 口座番号って本人しか見ない情報なんですかね?
            > 公開しても平気なものだと思ってました.

            自分もそう思ってたけど、口座番号と4桁の数字で個人情報が見れてしまうと考えると・・・ちょっと嫌かな。

            それに口座番号なんて適当な番号でも当たりそうだし
            誰かわからん口座の情報を見ようと思えば、適当な番号だけで見れちゃうこともあるってことですね。

          • by Anonymous Coward

            >口座番号って本人しか見ない情報なんですかね?

            経済産業省が個人情報保護のガイドラインの中で例示して保護すべき情報として挙げているので
            基本的にはそうでは。

    • by Anonymous Coward

      どっちがマシという議論ではなくて、なぜ強度のあるパスワード+ワンタイムパスワードという構成にしなかったのかって事では

    • by Anonymous Coward

      どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。
      残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。

      また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。
      この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。

      ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。

      • by Anonymous Coward on 2014年03月03日 20時48分 (#2555250)

        数回間違えるとロックされるので総当りは私ならやらない
        どこで操作されたかを記録しているし、
        周辺部分での補強処理ゆえに
        4桁でも実運用になっているんじゃないかな

        親コメント
        • by Anonymous Coward on 2014年03月04日 0時20分 (#2555421)
          これがマイナス1な理由がわからない。

          3回でロックされるなら試行の足がつく上に、解除がクソ面倒(電話もなかなかつながらないし)。
          たまにしかつかわない且つ間違えるとロックされるようなものに複雑なパスワードをを要求すると利便性も運用も面倒になる。

          ロックをやめてブルートフォースを許すリスク、別のパスワード流用されてほかで流出したのでログインできてしまうリスクも踏まえるべき。

          あとその後の振り込み処理などではあらためてパスワードを聞かれるので4桁ですべてができるわけではないことも重要。
          親コメント
          • by Anonymous Coward on 2014年03月04日 1時11分 (#2555447)

            下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。
            IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。

            親コメント
            • by Anonymous Coward
              リバースブルートフォースなら、パスワードを長くしても
              有りがちなパスワードで実行したら同様な気がします。
              三井住友のサイトにそういうアタックを検出する機構があるのかどうか気になるところですが。
              • by Anonymous Coward

                それでも1/10000よりかはましだと思います。

            • by Anonymous Coward
              IDに相当するものは10桁なんですけど、簡単に抜かれるんでしょうか。
              ウイルスを埋め込まれたとか、ソーシャルエンジニアリングで盗まれたとかいう事例は聞くけど、
              銀行がリバースブルートフォースでやられてという話は聞いたことがない。
              簡単にできるのなら、被害例があってよさそうなのに。
    • by Anonymous Coward

      ズボラな人が居るとそいつが被害被る可能性がある、ってのが脆弱性かなぁ?
      一応、第三者にログインされてもたいしたことできないよう設定でいるみたいですし。

      でも、初期設定のまま放置すると登録先に振込イタズラし放題っぽいですよ。
      4桁数字ってのはリバースブルートフォースアタックで簡単に抜けちゃいますから。
      犯罪組織的には、あまり美味しい使い道無いかもしれないけど。

      ※あと単純に自分の取引先とか残高とか見られたく無いじゃん、ってのあるよね。

      • by Anonymous Coward

        魅力的な未婚女性になら、残高見られたいです。

  • by Anonymous Coward on 2014年03月03日 16時54分 (#2555063)

    5桁+5桁の合計10桁の契約者番号を絶対に漏らさなければどうって事はない(棒)。

    あとは、振込み額の上限を低く設定しておく事くらいしか防衛策は無いですかね。
    第三暗証番号を知らないと変更できないのですが、自分は求められるまでその存在を知りませんでした(笑)。

    • by Anonymous Coward

      店番号+口座番号でもログインできなかったっけ?
      誰かに振込依頼したことあれば漏れてる。

      • by Anonymous Coward

        初めは契約者番号だけでしたが、
        後から店番号+口座番号でもログインできるように改悪(?)されましたよね

        • by Anonymous Coward

          そういえば、そうでしたね。iOS版のアプリ入れた時にどちらでログインするか選ばせられたの思い出しました。

    • by Anonymous Coward

      オリックス銀行が口座番号とパスワードだけでログインできるんでオークションとかで絶対使えない。
      つかネットショッピングにも給与振込にもなんにも使えねーよ。怖くて。

    • by Anonymous Coward

      第三者への振込は別の暗証カードかワンタイムパスワードが必要なのでそこまで心配しなくていいかも
      既に無償でワンタイムパスワードが配布されているんだから気になるなら発行すればいい

    • by Anonymous Coward

      あとは、振込み額の上限を低く設定しておく事くらいしか防衛策は無いですかね。

      そういえば、このトピックでも話題に上がっている某銀行から、
      「犯罪対策のために振込金額の上限をオンラインで変えられないようにするよ。
      その前に上限を見直しといてね(≒上げておいてね)」と言われました。
      なんか違うだろ、それ。

       #うん、確かに三周遅れだ。

  • by Anonymous Coward on 2014年03月03日 16時55分 (#2555064)

    パスワードは8-16文字、記号必須だけど氏名と契約番号さえあればパスワード変更可能で
    乱数表さえ手に入れば全てを手に入れたも同然という

    • by Anonymous Coward

      乱数表をすべて入力させるフィッシングサイトが現れて、注意喚起を行ってましたね。
      って、/.Jでも記事 [srad.jp]になってましたね。
      私はこの話を聞いて怖くなったので、三菱東京UFJのネットバンクを解約しようとしたら、
      ネットバンクだけ解約するには金がかかるというので、口座ごと解約してさよならしちゃいました。

    • by Anonymous Coward

      先日MUFGの口座を置いている支店からご機嫌伺いの電話がかかってきたので
      「MUFGはセキュリティが他社と比べて3周くらい周回遅れだ」
      「UFJ時代には他社と比べて割と先進的だったのに三菱と合併してから落ちる一方だ」
      と言っておいた

      向こうにはそういう意識は全くなかったようでかなり衝撃を受けていたようだ…

  • by Anonymous Coward on 2014年03月03日 16時57分 (#2555066)

    銀行側が全てサクっと補償してくれるなら構わない。
    ……と思ったけど氏名や取引先の情報が漏れるリスクはあるか。

  • by Anonymous Coward on 2014年03月03日 17時02分 (#2555074)

    それに見合った金額以上は入れないようにすればいいでしょ。

    インターネットバンキングを有効にした口座に
    大金を入れとくことがリスクだよ。

    • by Anonymous Coward

      たしかにそうなんだけど、そうするとネット証券とかできなくなるな…

  • by Anonymous Coward on 2014年03月03日 19時14分 (#2555164)

    [登録内容の変更]の[ログイン方法]で「第一暗証でログイン」か「第一暗証+パスワードカードでログイン」が選択できますが...

    • by Anonymous Coward

      記事読めよ。
      設定によってはできてしまうってのも問題の一つだ。

      システムやセキュリティの専門家が使うものじゃなく、一般人が使うものだってことを忘れちゃダメ。
      一般人に求めることができるのは、最高でも「URI欄のドメインが合ってて鍵マークが入ってる」とこまで。

  • by Anonymous Coward on 2014年03月03日 20時41分 (#2555244)

    「パスワードに数字4~6桁しか認めない日本の航空会社はユニークすぎて
    パスワードリスト型攻撃に強い」って言ってた人は前言撤回しないといけないね。

    • by Anonymous Coward

      航空会社のマイレージ会員サービスなんてどうせ携帯電話に予約情報運行情報のメールやSMSを送るのが標準機能みたいなもんなんだから
      貯まったマイレージを使う部分だけでもSMSベースのOTPとかやればいいんだよな…

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...