三菱東京UFJ銀行、ネットバンキングで乱数表を廃止。ワンタイムパスワード必須に 44
ストーリー by hylom
乱数表の窃取対策? 部門より
乱数表の窃取対策? 部門より
三菱東京UFJ銀行のネットバンキングサービス「UFJダイレクト」では送金などの際の認証に乱数表を使っていたが、2015年8月9日よりこれを廃止し、ワンタイムパスワードでのみが認証できるようにするとのこと三菱東京UFJ銀行の発表)。
ワンタイムパスワードは、「三菱東京UFJ銀行」スマートフォンアプリを使って生成できる。
今更、10年前の脆弱な 「ワンタイムパスワード」 方式とは尋常ではない (スコア:5, 参考になる)
2015年8月9日以降の新規契約者から必須となる「ワンタイムパスワード」(物理トークンまたはアプリ)は、ジャパンネット銀行 [japannetbank.co.jp]が約10年前に導入したものと同様であって、「MITB」も「フィッシング詐欺」も防げない脆弱なもの です。ワンタイムパスワードでも被害 不正送金の新ウイルス [asahi.com]という記事を見れば分かるように、このような脆弱なワンタイムパスワードはマルウェアによる振込先・金額の改ざんや・フィッシング(正規サイトへの通信中継を行うフィッシング詐欺)による不正送金を防ぐことができないことから、不正送金被害が多発しています。
「平成28年度前半目処で、振込等の資金移動取引において、すべてのお客さまにワンタイムパスワード(アプリ、またはカード)の利用を必須とさせていただく予定」とのことなので、トークンの配布コスト・顧客へのサポートコストなど多額の費用がかかるはずですが、それならば何故 みずほ銀行のようにMITBも防げるまともなトランザクション認証 [security.srad.jp] を導入しなかったのか大変疑問です。
物理トークンの費用などの導入コストは、トランザクション認証であっても大差が無いと思われますし、顧客側の手間も物理トークン(電卓型)に振込先口座番号を入力する程度のものであって、みずほ銀行のように2回目以降の同一口座への振込の際にトランザクション認証を省略できる機能(振込先口座登録)を設ければ、殆ど負担にならないはず。
今現在、まともなトランザクション認証を導入している邦銀は、私の知る限り みずほ銀行 [security.srad.jp]、住信SBIネット銀行 [netbk.co.jp]、じぶん銀行 [jibunbank.co.jp] だけで、そのうち物理トークンでトランザクション認証を利用できるのは「みずほ銀行」だけです。
Re:今更、10年前の脆弱な 「ワンタイムパスワード」 方式とは尋常ではない (スコア:1)
MUFGから配られている物理トークンはトランザクション認証対応のやつ(そろらく VASCO DIGIPAS 275)で、
トランザクション認証に対応させることを感じさせるかのごとく(1)と(3)の色が違うよ。
そのうち導入するんだろ。まあ最初からやっとけよと言うのは同意するけど。
Re:今更、10年前の脆弱な 「ワンタイムパスワード」 方式とは尋常ではない (スコア:3)
まずは、トランザクション認証無しのワンタイムパスワードを導入(トークンだけはトランザクション認証対応のもの)してみて、それから不正送金被害がより拡大したら、サーバー側でトランザクション認証に対応というスケジュールでしょうか?
ゆうちょ銀行 [japanpost.jp] や 三井住友銀行 [smbc.co.jp] も、同様にトークンだけはトランザクション認証対応ですが、一向にトランザクション認証が導入される気配がありませんが……。不正送金被害が更に拡大し、補填金額で経営を圧迫するぐらいになるまで放置し続けるつもりですかね。
同じトークンを利用しながら途中からトランザクション認証に切り替えると、トークンの利用方法が変わることになって顧客が混乱し、本来振込先口座番号以外を入力してはならないトークンに対して、「ワンタイムパスワードカードに認証コード 1234567 と入力して下さい」(実際には、詐欺師の口座番号)と指示するといったマルウェアの攻撃に顧客が騙されやすくなりそうです。従って、最初から導入すべきですね。
Re: (スコア:0)
今回のは全ユーザーに必須となるだけで、結構前から物理トークンは導入されてるんですよ。うちにもある。
だから、どうせ導入するなら最初からとかいうのはもうすでに遅くて、すでに稼働してるシステムやユーザがあるからそれに合わせただけでしょう。
そのうち刷新されるかもしれないけれど、それを待つより早く導入した方が被害は小さいという判断でしょう。
Re:今更、10年前の脆弱な 「ワンタイムパスワード」 方式とは尋常ではない (スコア:1)
無論詐欺の潮流という意味でMITB/フィッシングでの自前振り込みには対応できないですが...、もろもろぬすまれる系だってまだまだあるので、いままでの二要素カードそのもよりだいぶ良くなるとは思うんですが。
>物理トークンの費用などの導入コスト
サービス側の処理実装コストという意味で大分ちがうので、さすがにちょっとそれは雑な気がします
それでもまあ、二度手間になるから、というのもあるので、やっとけとは思いますが
# そりゃ最初から完璧に防げればそれにこしたことないけど、ね...
# まあ早急にトランザクションに対応してほしいとは思います
M-FalconSky (暑いか寒い)
Re: (スコア:0)
> 物理トークンの費用などの導入コストは、トランザクション認証であっても大差が無いと思われますし、
> 顧客側の手間も物理トークン(電卓型)に振込先口座番号を入力する程度のものであって、みずほ銀行のように
> 2回目以降の同一口座への振込の際にトランザクション認証を省略できる機能(振込先口座登録)を設ければ、殆ど負担にならないはず。
部外者感を感じました。「日本の技術の粋を結集すれば~」とかの。
Re: (スコア:0)
後から切り替えると使用方法の周知コストが無駄に積み上がるのも、
実際国内で導入してる銀行が既にあるという事実は部外者にも明らか。
部外者にも明らかな事を述べてるんだからなんの問題もないね。
元コメの人はアナーキズムというか既存の権威や法律の問題に対する憤りが強そうな人だけど、
言ってる内容は特に間違ってないだろう。問題があるものを問題があると言っているだけ。
Re: (スコア:0)
批判だけして対案も出さないクズは帰ってどうぞ
Re: (スコア:0)
トランザクション認証の実績件数がさほど積み上がっていないとかその手の理由かなぁ…
だとしたらスマホアプリなんぞもっての外なんだけど、
「方式」しか考慮しないルールなんてのはよくある話。
あとはシステム販売側が吹っ掛けてきてるとかもあるだろう。
# だとしても、既存の暗証番号よりマシってだけで妥協するところじゃないわな。
ところでアプリの品質は (スコア:3)
https://play.google.com/store/apps/details?id=com.jpmufgbkapplisponeti... [google.com]
絵に描いたような低評価のオンパレードですがさて。
メガバン系はみずほのアプリしか使ったことないけど、
root化してるとアプリ起動すらできないとかいう
クソみたいなセキュリティ対策が施されててひどかった。
Re:ところでアプリの品質は (スコア:1)
>root化してるとアプリ起動すらできないとかいう
>クソみたいなセキュリティ対策が施されててひどかった。
それは極めて真っ当なつくりですね。
root化されて中身がどうなっているのかわからないプラットホームで起動されたらたまったもんじゃない。
Re: (スコア:0)
あとで低評価に慌てて高評価化サービスを使って高くするんだろうから今低評価でも問題ない
そもそも評価システム自体破綻しているから、評価などあてにならない
Re: (スコア:0)
外国は知らないが、少なくとも日本の大企業のアプリはどこもクソ。
UIやらUXを全く考えてない。使いにくいお手本、的なアプリばかり。
Re:ところでアプリの品質は (スコア:1)
大企業に限らないと思うがどうか
それに全く考えていないなんてことは無い。
必死に考え合議の末に鶴の一声で決まった結果なのだよ
Re: (スコア:0)
>必死に考え合議の末
いやそれこそが諸悪の根源。
みんな考える方向が違うのに、全部くっつけようとする。
>おれはチャーハン!おれはごはん!
>じゃぁ、チャーハン定食ということで。チャーハンはおかずです。←必死に考えるところ
無責任委員会方式。
非スマホ利用者にとってはたまらない (スコア:2)
一応、AndroidもしくはiOSのスマホを持ってないユーザーもワンタイムパスワードカード [bk.mufg.jp]を申し込めば、それを利用した認証もできるようですが・・・。
とはいえ、顧客に無駄な手間を強いるだけで、今更あまり意味がある対策ではない [security.srad.jp]そうなので、何だかなぁといった感じ。
Re: (スコア:0)
スマホアプリでも、申し込み&郵便で6桁の設定番号を受け取る必要がある。
スマホ利用者がとくに便利というわけではない。
Re:非スマホ利用者にとってはたまらない (スコア:1)
これまでの乱数表カードとサイズ比較してみると、
【乱数表カード(定規で測ったのでだいたい)】8.6cm ×5.4cm ×0.5mm
【ワンタイムパスワードカード】7cm × 4.5cm × 3.1mm
と、縦横は小さくなるけど厚みがすごく増す。
今までは財布の中に乱数表カード入れておけば外出先でもネットバンキングが使えたけど、財布のカード入れ部分に入れるのは難しそうですね・・・。
外出先でネットバンキングを使いたい非スマホユーザーにとっては、ワンタイムパスワードカードの持ち運びがやっかいかもしれない。
Re: (スコア:0)
しかも、端末を買い換えたら再度ハガキで申請が必要。
iPhoneの場合、バックアップからリストアすればほぼ完全に旧機種の環境を復元できるけど、どうやらこのアプリは端末IDか何かに紐付けてるぽい。
なんか利便性とセキュリティのバランスがすごく悪い。
文章間違ってね? (スコア:1)
8月9日から変更があるのは、「新たに契約する人だけ」であって、既存ユーザはまだそのまま乱数表が使えるんだぜ.
来年ぐらいから既存ユーザも otp 必須にしたい、とは言ってるけどな.
# それでも、海外から使うには乱数表を用いるらしいしな.
Re: (スコア:0)
「海外からの場合にはOTP不可で乱数表のみ」というのの理由がよくわからんよね。
乱数表を無くしたときの再発行およびアクティベーションが国内の住所に対して書留郵便物送付というのも理由の一つだろうけど。
せめて信頼できる住所(=実家など)に本人確認郵便で送付する、等の手段があってもいいはずだ。
今回音声案内により即時アクティベーションできるようにしたというのだから、
いっそ海外顧客こそ「スマートフォンアプリケーション必須」にするくらいでいい。
Re:文章間違ってね? (スコア:1)
暗号技術の輸出で外為法に触れるのでは?
Re:文章間違ってね? (スコア:2)
少なくともPlayやiTunesの国には出さないと配れないのでUSはあるとしても他はどうなるんでしょうね…?
Re: (スコア:0)
あと,資金取引以外の手続きは暗号表が使われるんじゃないかな。
たとえば,OTPカードの申し込みやスマホの認証郵便の依頼なんか。
窓口のみ (スコア:1)
スマフォ買う気もないしPCはMacだし、銀行窓口だけに戻るか。
the.ACount
OTPトークンから一歩先へ (スコア:0)
OTP義務化は非常によいですね。
でも、AndroidのMicrosoftアカウントアプリ [google.com]みたく、
チャレンジがあったことがプッシュ通知で送信されてきてアプリ側で承認したらブラウザが次に進む方式のほうが便利なので、
ここで歩みを止めずにどんどん進んでほしい。
共通のシステムにして欲しい (スコア:0)
口座の数だけアプリやトークンがあって非常に不便な上にセキュリティリスクにもなっていると思います。
Google認証システムのようなOpenOTPでまとめて管理できた方が便利だしより安全なのではないでしょうか。
Re: (スコア:0)
パスワード管理会社がハッキングされる現在、同じパスワードを
使い回しするようなものではないでしょうか。
Re:共通のシステムにして欲しい (スコア:1)
「会社の鍵と家の鍵と物置の鍵を、全部同じ鍵にしたい」と言ってるような物かもしれない。
Re: (スコア:0)
おまけにFIDOのように生体認証ゴリ押し勢力もあるしねぇ。コロコロ変わるのが一番よくない
Re: (スコア:0)
あれ、UFJネットバンクって複数口座が統一されなかったっけ。
Re: (スコア:0)
口座の数だけ、というのはいろんな銀行に持っている口座の数だけ、という趣旨でしょう。同じ銀行に複数の口座を持っている場合の話ではなく。
Re: (スコア:0)
十分な安全性を維持するのは前提で、認証デバイスの利便性向上は割と本気で考えてもらいたいですね。
金融系や口座操作に限らず、様々な認証を外部デバイスで安全かつ簡便にできるのならその方がいいです。
Re: (スコア:0)
>セキュリティリスク
マルウェアを仕込まれるの可能性のあるデバイスはトランザクション認証のトークンには出来ないのでは?
だってマルウェアが振込先を入力して、その結果を受け取れたら何の意味もありませんよ。パスワードの強度と変わりません。
だからトークンは物理的にブラウザとは独立していて、本人による物理的な入力を必要とするんじゃないでしょうか。
あまり知られていないようだが (スコア:0)
三菱UFJには「クラウドダイレクト」という、クラウド環境に置いた仮想マシンから
オンラインサービスにアクセスする仕組みのシステムがある
http://direct.bk.mufg.jp/clouddirect/setsumei.html [bk.mufg.jp]
もうちょっと話題になってもおかしくないと思うんだが、なぜか注目されてないんだよなぁ
Re:あまり知られていないようだが (スコア:2)
マルウェア対策としての効果は疑問ですが、なかなか斬新で面白い仕組みですよね。
# 4か月程前に、どうせ却下されるだろうな…… と思いながらも タレコんでみましたが [srad.jp]、やはり却下でした
Re: (スコア:0)
正直、何の意味があるのか分かりません。
クラウド上の専用環境だから安全と言っているようですが、そもそもユーザーのクライアント側に侵入されている状況なら攻撃者のクラウド環境に誘導されるだけでは。
攻撃に必要なコストは引き上げられるだろうけど、攻撃の難易度は大差ないんじゃないですか。
Re: (スコア:0)
ブラウザのっとったり、中間者攻撃みたいなことするマルウェアに感染したPCからでも大丈夫ってことじゃないですかね?
Re: (スコア:0)
マルウェアを仕込まれてる時点でブラウザ以外も弄り放題。
攻撃の対象がブラウザだけなんて決まりはないですよ。
Re: (スコア:0)
オフトピだなぁ
ちなみにMUFGの店舗は、
青森・秋田・山形・山梨・長野・富山・福井・鳥取・島根・愛媛・高知・佐賀・大分・宮崎・鹿児島・沖縄
にはないらしい。
存在しない地域がだいぶあるけど、なんでだろう。
銀行には出店規制とか有るの?
Re: (スコア:0)
三井住友の愛媛県内支店が県庁のある松山でなく新居浜にしか無い(住友の関係で)ような塩梅で
大口取引先などの関係性のある場所以外には支店出してないってことでしょう・・・。
Re: (スコア:0)
以前法人営業の人に聞いたところ、大企業が少なくて地銀が強いところには出店しないとのこと。
そのような地域は人口も少ないですし、メガバンクが出店してもペイしないのでしょう。
Re: (スコア:0)
小中学生の知識レベルでも都市銀行と地方銀行の違いぐらい知ってるだろ。