パスワードを忘れた? アカウント作成
12242868 story
セキュリティ

家計簿アプリにネットバンキングのパスワードを含むアカウント情報を登録することの是非 68

ストーリー by hylom
どうしてもやりたいなら毎回入力させるのが一番安全ではある 部門より
insiderman 曰く、

最近の家計簿アプリでは、ネットバンキングサービスから自動的に残高や入出金記録を取得して記録する機能を備えているものがあるそうだ。この機能を利用するためには、アプリにネットバンキングのパスワードを含むアカウント情報を登録しておく必要があるのだが、これについての是非が議論されている(ツイナビ:いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します)。

例として上がっているのは「Zaim」や「MoneyForward」という、いわゆるクラウド型のサービス。入力した認証情報はこれらサービスを運営するサーバー側に保持されることになる。記録されるのはログインIDやパスワードと言った「最低限の情報」とされているが(Zaim)、サービスや連動するネットバンキングサービスによってそれ以外の情報も登録が必要で、たとえば新生銀行との連動の場合、暗証番号についても入力が必要だったり、いわゆる「秘密の質問」の登録が必要となる場合もあったりするようだ(MoneyForward)。

まず懸念されるのが、これら情報がハッシュなどのほぼ不可逆な形ではなく、アルゴリズムや暗号化キーなどが分かれば復号できる形で保存される点だ。この場合、万が一情報漏洩が発生した場合の影響は大きくなる。

また、「振り込みなどの操作に必要となる暗証番号やパスワードについては保存していないため万が一情報が漏洩しても実質的な影響は少ない」との意見もあるが、このようなリスクの高い秘密情報についてカジュアルに入力させている場合、たとえば悪意のある攻撃者がフィッシングサイトを作ってさらなる情報を入力させようとしたり、口座アカウントの窃取を狙って作られたアプリが登場した場合に違和感を感じにくくなるという問題がある。

ちなみにZaimMoneyForwardも、利用規約の免責事項で「サービスを利用によって発生した損害については一切の責任を負わない」とされているので、万が一情報が漏洩して金銭的な損害が発生した場合、損害賠償などを請求できない可能性がある。これら機能を利用する場合はご注意を。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年07月02日 19時42分 (#2840976)

    金融機関に限らずだけど、パスワードとIDを使うサービスは、利用者自らIDとパスワードを第三者に渡していた事がわかっている場合は、詐欺などに遭った場合でも補償が受けられないのが普通だよね
    誰か第三者に渡したパスワードが漏れていた事が原因だとはっきりしていないケースでも、誰かに渡してると言った時点で重過失が原因と認定されてしまい、補償が受けられなくなる。正規のIDとパスワードでログインされた場合は、サービス側は偽物かどうか区別ができないから当然だわな。

    たとえ犯罪に巻き込まれた場合でも、重過失扱いされる。
    と言うかこれらのアグリケーションサービスでも利用規約にしっかりと、パスワードとIDはユーザが管理しろ、責任は持たないぞと書かれている。

    そういう利用規約というか、監督官庁の承認が行われている金融機関の取引約款に対して、これらのサービスはどう扱われてんだろ。どう整合性をとってるんだろ。

    金融に関しては、宣伝上では安全安全と言いながら、細かい文字で書かれた部分には補償しませんとか書いてある、みたいな、Webサービスでよく見られるやり口は駄目ね。
    んな事をやっていると監督官庁から指導を受けるし、何よりそれを理由に裁判にでもなれば大損害を受ける事になる。信用商売だし。

    これらのWebサービスは関連する分野にまで進出しているにもかかわらず、それらに対してあまりにも無防備すぎると思うんだが。どうやってんだろ。

  • 把握済みの不具合 [zaim.net]を見てみると、

    6 月 27 日夕方より、「不正アクセスがあったため、パスワードをリセットしました」という旨のメールが届き、楽天にログインするためのパスワードがリセットされてしまったというご報告をいただいております。
     (中略)
    同じ場所(IP アドレス)から何度もログイン失敗が発生したため、その IP アドレスからログインしようとしたアカウントに対して、パスワードリセットがかかった可能性がございます。
     (中略)
    ■対策済の項目
    取得する元の IP アドレスを変更しました。
     (中略)
    DNS の逆引きを設定しました
     (中略)
    Avast が誤検知するようです。
     (中略)
    【一部ご利用者で取得できていない金融機関】
    住信SBIネット銀行/ ライフカード/ 楽天 Edy/ オリコカード/ ビューカード(My JR-EAST 版)/ ゆうちょ銀行/ ソニー銀行/ 楽天カード/ 福岡銀行/ イオンカード/ Yahoo! ウォレット/ シティバンク銀行/ セディナCFカード/

    となかなか香ばしい状況になっているようです。

    銀行が承認しているサービスであるならば、ブロックされたからIPアドレスを変更するという行動にはならないはず。2ch.net に対する 2ch.sc のようなサービスなようですね。

    銀行の承認を得ずにIDとパスワードを収集しているのであれば、セキュリティソフトがブロックしても問題ないような危険なサービスだと思います。

    • by Anonymous Coward

      なんでそこで2ch.scが出てくるのかがよく分からん。
      クローラの事を言いたいのかもしれんけど、現在の.net運用者が横領犯な状態のヤツを例にだすなよと。

  • by Anonymous Coward on 2015年07月02日 20時00分 (#2840982)

    そもそも1つのクレジットカード会社に、支出のかなりの部分を見られていたので、
    元はクレジットカード会社のcsvで支出内訳を管理をしていた(というかその目的で支払いを寄せていた)のですが、
    カード明細では「amazon」としか表示されない、amazonと、あと楽天での購入額が多すぎかつ、仕訳(本とか飲料とか日用品とか)が多彩すぎて、
    そいつらの中身もきちんと仕訳しないと、より事実に近い支出内訳が管理出来ないんだけど、
    3つの支出データをマージするのは、それなりに大変だよね。。。
    というちょうどそのときに、マネーフォワード様が舞い降りたのです。。。

    なんというかこう、自分ではとても数えきれない、自分のケツの毛の本数を、
    毎日きちんと他人様に数えて貰える快感があるわけですよ。
    流出のリスクを上回る満足度があるわけですよ。
    リスクと比較しても満足なんだから、仕方がない。

    という、重度のマネーフォワード依存患者です。

    • by Anonymous Coward

      > 3つの支出データをマージするのは、それなりに大変だよね。。。

      支出ではなく買ったものの管理のために、昔々スクレイピングでやったけど面倒だったね。サイトデザインが変わるとやり直しだし

  • 実際使ってみると家計簿サービスは便利なんですが
    履歴の参照までのパスワードと、それ以降の処理(振込)のパスワード(第2認証?)と
    分かれているところは登録しています。

    まあ、登録には注意したいですね。

    #Suicaの交通機関以外の記録が全部「物販」になってしまうので、かえって判りづらいです。
    #個人的にはWAONなどは、購入の明細まで履歴が取れると嬉しいのですが・・・・
  • 現在、ネットバンキングでは、ログイン時に ID(もしくは口座番号) と パスワード が要求され(過去にログインした時のCookieが無い場合、IPアドレスが変わった場合などに追加で合言葉が要求される銀行も多い)、振込時にはワンタイムパスワードや乱数表の一部を入力する方式が主流なので、乱数表を全部入力させるというふざけたサービス [twitter.com]を除けば、家計簿Webアプリ側は直ちに不正振込が行えるだけの情報を持っていないことになります。

    しかし、家計簿Webアプリのサーバが乗っ取られた場合、クラッカーがWebアプリを改ざんし、ソーシャルエンジニアリングでワンタイムパスワードなどを入力させようとするかもしれません。例えば、家計簿サービスにログインして銀行から取引履歴を取得する作業を行ったときに、

    セキュリティ強化のため、再認証が必要となりました。
    ○○銀行のトークンに表示されている、6桁のワンタイムパスワードを入力して下さい。

    というメッセージを表示させたら、50人に1人ぐらいは引っかかるのでは?

    マネーフォワードは200万人利用者がいる [moneyforward.com]そうですが、そのうち銀行口座を登録している人が50万人居て、ソーシャルエンジニアリングに引っかかる人が50人に1人居て、1人が送金可能な金額が平均で20万円だとしたら、被害額は20億円 となります(※)2014年のネットバンキング不正振込の被害額が全銀行で 約29億1000万円 であることを考えると、物凄い金額です。 [jiji.com]

    ※出典: Printable is bad. によるフェルミ推定 (データは推測によるもので信頼性は確保されていません)

    ということで、被害が出る前に、銀行側でも対策すべきだと思います。現実的な対策としては、

    が挙げられます。既に両方やっているみずほ銀行は凄いと思います。

    • by Anonymous Coward

      その例であげられている新生銀行は、ログイン時に全部入力しないとダメで、ログイン以降の振り込み時認証などはないという「非主流」です。(口座番号、カードの暗誦番号4桁、ネットバンク用パスワード、乱数表から4桁入れないとログインできない)
      なので、新生から情報を引っこ抜こうとすれば、どうしてもそういうものになります。
      前からずっと思っていましたが、まあフザケタ銀行ですネ。

      • by Anonymous Coward

        システムパッケージを格安で買ってきた結果、あれこれ変更できない、と聞いた気が。

        少なくとも時代遅れ感はハンパないですね。。。

    • by Anonymous Coward

      1万人をソーシャルエンジニアリングにかける手間を考えたら20億円なんて大した価値ないと思うよ。
      同時多発的に1000種類の犯罪グループがソーシャルエンジニアリング始めるなんて可能性はゼロではないけれども。

      • by Anonymous Coward

        大量にばらまいて0.1%でも引っかかったら儲けになるスパムやらフィッシングやらがこんだけ蔓延ってる今、数の手間は問題にはならんだろ。

  • by Anonymous Coward on 2015年07月02日 20時12分 (#2840997)

    上で挙がってる「Zaim」を使ってます。
    正直、銀行との紐付け機能を使う時にはビビりました。
    でも自分のところの銀行はログインパスワードと決済用パスワードと暗証番号があって、紐付けにはログインパスワードと口座番号しか必要無かったので、試してみる気になれました。もちろん口座残高や摘要欄が流出してしまうのは覚悟の上です。
    もしこれが上で挙がっているように暗証番号や秘密の質問まで必要だったなら、絶対に試さなかったと思います。

    個人的にはFacebook並の細かなコントロールできるoAuth認可に銀行側が対応するのが理想的なのですが、今の銀行のスピード感(笑)じゃ無理でしょうね。

    • by Anonymous Coward on 2015年07月02日 23時29分 (#2841116)

      oAuthも欲しいし、そもそもアメリカのSimpleのような、家計簿アプリを売りにした銀行が出てきて欲しい。

      https://www.simple.com/ [simple.com]
      Founded: 2009年だってよ。
      いろんな分野でいつも思うけど、アメリカのスピード感、なんでこんなすごいの?

      親コメント
      • by Anonymous Coward

        今儲からなくても将来的に儲かりそうなら金だす投資家がいっぱいいるからでしょ。
        日本人は性格的にリスクをとらないから、なかなかそういうハイリスクな投資が少ないかな。

    • by Anonymous Coward

      もちろん口座残高や摘要欄が流出してしまうのは覚悟の上です。

      少なくとも家計簿サービスにその閲覧権を与えるだけの情報を渡すのだから、自ずとそういう覚悟になるんだろうな。

      具体的な事故が発生する前にこの話題が燃え上がれば、銀行側の対応を促す力になるのかも・・・?
      いち早く対応を宣言した銀行を褒め倒すとか。

  • by Anonymous Coward on 2015年07月02日 20時38分 (#2841017)

    一応、ローカルでパスワード保存しているので、流出はしないと信じたい。
    保存アルゴリズムが解析されてかつウイルスでやられたらアウトだけど。

    定期的に調子が悪くなって再インストール&データの作り直しが必要なのと、
    不具合があったらデフラグを推奨 [moneylook.net]している時点で技術力はあまり高くない感じ。
    たぶん、データベースまわりにバグが潜んでる。

  • by Anonymous Coward on 2015年07月02日 19時42分 (#2840975)

    ユーザーの銀行のパスワードを管理することに恐ろしさを感じない馬鹿か
    またはもともと悪用する前提で作ったシステムなのか。

    • by Anonymous Coward

      新生銀行以外は読み込み用のAPIを用意しているらしいです。

      • by Anonymous Coward on 2015年07月02日 20時36分 (#2841014)

        三菱東京UFJ銀行はAPIではなくスクレイピングっぽい。
        ログイン直後に表示するお知らせが未読になっていると情報取得に失敗するので。

        親コメント
      • by Anonymous Coward

        そういう風にTwitterで熱弁して大丈夫なんだと言いはってる人がいて調べたんだけど
        具体的にそういう仕組みになってるんだと説明されているところがないんだよね…。

        スクレイピングでやってると解説しているサイトならいくつか見つかるんだが
        http://www.kyamada.com/posts/52c29957bedba54cda00013a [kyamada.com]

        仮にAPI説が正しいとしたら、使っていると結構おきる銀行側のレイアウト変更なんかで同期がおかしくなくなる現象は起きないはずだし、
        そもそもアカウントを入力させる必要は無いわけで、例えばoAuthまでは難しいにしても、昔あったNTT-comのアグリケーションサービスのように連携のトークンなんかを吐き出させる方式で十分なはずでしょ。

        • by Anonymous Coward

          やっていて当然だと思っている。

          そうでないならやってはいけないな。

          • by Anonymous Coward

            やっていて当然だと思ってる対策をやってない連中がやらかしたトラブルが毎月のように話題になる昨今、やっていて当然だからやられているとは到底考えられない。
            信用できない他人にこんな重要な情報預けるとかありえんわ。

  • by Anonymous Coward on 2015年07月02日 19時56分 (#2840980)
    ってこと?
  • by Anonymous Coward on 2015年07月02日 20時01分 (#2840985)

    これだけで世の中の情弱どもは何も考えずに利用を始める。

    該当のアプリの"レビュー"を見ても、便利というものばかりでそのリスクを認識してる人は極めて少なそう。というか認識してる人はそもそも使わないか。
    アプリに入力するから、その情報があっち側にまでいってるとは思ってないのかも。
    中には、「別の場所からログインされてた〜怖い」というレビューも一応あった。そりゃサーバーが代わりにログインして収集してるからね。

    集めた情報もビッグデータとして利用してるだろう。誰がどれくらいの消費して給料はいくらか、なんてのもすべて把握されてる。

    百歩譲って、すべてローカルアプリで完結(ローカルから各銀行などに取りに行く)してくれるなら検討の余地もあるけど、実際裏でどんな通信してるかわからないし、よっぽど信頼できるメーカーじゃないと無理かな。

    # なので、家計簿はすべて管理アプリに手入力してますわ。

    • by Anonymous Coward

      ># なので、家計簿はすべて管理アプリに手入力してますわ。

      おもおか狙いでオチつけるやなw

  • by Anonymous Coward on 2015年07月02日 20時02分 (#2840986)

    弥生会計はYahoi Connectを通じて情報の自動入力できるのがウリですが、これもMoneyLookやzaim経由なので、事業用の口座情報を載せるのは著しく抵抗があります。

  • まず (スコア:0, フレームのもと)

    by Anonymous Coward on 2015年07月02日 20時04分 (#2840987)

    最近の家計簿アプリでは、ネットバンキングサービスから自動的に残高や入出金記録を取得して記録する機能を備えているものがあるそうだ。この機能を利用するためには、アプリにネットバンキングのパスワードを含むアカウント情報を登録しておく必要があるのだが、

    「アプリにネットバンキングのパスワードを含むアカウント情報を登録しておく必要がある」
    って思っているのが間違い。

    通常はリードオンリーのトークンを持てばいいので「パスワードを含むアカウント情報を登録しておく必要がある」という知識は間違い。

    通常のウェブアカウントと、APIのアカウントの違いを把握しないで能書きを述べたところで意味はない。

    • by Anonymous Coward on 2015年07月02日 20時16分 (#2840999)

      「リードオンリーのトークン」を発行できて云々できるようなAPIを、「通常」のネットバンキングサービスは持っているものなの?
      そういうAPIが無いから、ユーザと同じ入り口からIDとパスでログインしてさらに入出金記録をリクエストして~的な力業をやっているのかと。

      親コメント
      • by Anonymous Coward

        そういう力業使わないとダメならつかっちゃダメってはなしでしょ。

    • by Anonymous Coward

      まったくだ。

      通常のアカウントしかないからといって、APIアカウントのような使い方をさせるサービスを作ると言うのが信じられん。使う奴はもっと信じられん。

    • by Anonymous Coward

      ちゃうねん。最近の家計簿アプリの機能を利用するために要るんよ。残高や入出金記録を取得して記録する機能が本質的にパスワードを含むアカウント情報を必要としているというふうには書いとらんからそう読んだらあかんねんな。
      オンラインバンキングにマッシュアップできるAPIなんぞ無いから、不正アクセスで実現してるのだな。

  • by Anonymous Coward on 2015年07月02日 20時10分 (#2840992)

    まぁばかにされるだろうけど、最悪全部が流出しても大丈夫と考えているので、普通に使っています。
    そんな大金も扱ってないの悲しいAC

    • by Anonymous Coward

      金が無いから大丈夫って、まさかクレカを登録してないよね
      登録してたら最悪、不正発覚時に利用枠一杯までできるぞ。
      アカウント登録してるから3D セキュアも突破できるし。

      もっとヤバイのは証券会社のアカウントだが、金が無いから大丈夫って理論の人には当てはまらないか。

      • by ogino (1668) on 2015年07月02日 22時30分 (#2841091) 日記
        > 金が無いから大丈夫って、まさかクレカを登録してないよね
        > 登録してたら最悪、不正発覚時に利用枠一杯までできるぞ。

        クレジットカードサイトからカード番号が見えると勘違いしていると思われる。利用記録が見えても下の数桁は伏せ字になっていませんか。請求額の確認やポイント還元の申し込みはできても買い物はできませんよ。

        銀行口座にしたって、ログインできる権限で資金移動できる銀行っていまどきあるのでしょうか。MUFG とゆうちょ銀行は少なくともできない。(ゆうちょは無料のハードウェアトークンを敢えて使わないならできるかも)
        親コメント
        • by Anonymous Coward

          >ログインできる権限で資金移動できる銀行

          はい、新生銀行がありますね。昔からそうです。

        • by Anonymous Coward

          これらのサイト、有償サービス全部クレカ払いなんですけど…

    • by Anonymous Coward

      犯罪に使われる可能性はリスクに含まれないのか…

  • by Anonymous Coward on 2015年07月02日 20時56分 (#2841035)

    タイトルオンリー

    • Microsoft Money発祥のOFX形式で履歴をエクスポートできるネットバンキング多いですね。
      OFXダウンロードして家計簿ソフトに取り込めば、アカウント情報渡さなくて済んで安心

      親コメント
      • by Anonymous Coward

        便利に使ってたのになぁ。

        なんで廃止されてしまったんっ!!

        • by Anonymous Coward

          CSVだと各社フォーマとが違うのでその変換作業や、読み込み済みデータとの重複処理が面倒なんですよね。
          Microsoft Moneyが開発停止になってMaster Moneyに乗り換えたけれど。これもあまり開発に力入れていないみたいで
          消去法で仕方なく使っている感があります。
          株とか投資信託の日々の時価まで記録してくれるソフトがあれば最高なのですがね。

          • あー、同じ経路でMaster Money使ってます(笑)

            MS Moneyはあれですよね、Money側から情報を採りに行くのではなくて、銀行のWebサイトから
            データをダウンロードして、MS Moneyで開くという形式だったからアカウント情報を
            アプリに持たせる必要はなかったんですよね。

            便利だったのにほんと残念。

            Master Money、悪くは無いんだけど、なんというか、色気がないというか地味というか。

            親コメント
    • by Anonymous Coward

      あれは別に危険なパスワードの扱い方とかしてなかったけどな

      • by Anonymous Coward

        Agurippaがアレでした。

        • by Anonymous Coward

          いや、Agurippaはきちんとトークンで管理してただろ。
          当時サービスに口座を追加する時は、Agurippaのサイトで登録して、対応している金融機関に登録するとなんか承認番号みたいなのが出てきて、それをAgurippaの方に再入力させるという形になってた。参加銀行の全部がそうなってたかはわからんけど。

          少なくとも、参加している銀行やカード会社なんかにはきちんと許可を取ってたはず。

          そのせいで対応金融機関がなかなか増えず(っていうかNTTの顧客だけで)、パスワードをそのまま預けさせスクレイピングで取り込ませるという非常識な方法で対応金融機関を増やしたサービスに負けて今に至るという感じではあるのだが。

    • by Anonymous Coward
      ごめん、今でも使ってる

      #たぶんWindows10になっても使うだろうな・・・
  • by Anonymous Coward on 2015年07月03日 7時41分 (#2841192)

    これに尽きる。

    注意しない、あるいは注意する能力がない奴は
    金盗まれてりゃいいよ。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...