パスワードを忘れた? アカウント作成
13543545 story
セキュリティ

三菱東京UFJ銀行、個人向けネットバンキングで乱数表を完全に廃止へ 56

ストーリー by hylom
システムの都合だったのかな 部門より
あるAnonymous Coward曰く、

三菱東京UFJ銀行は2015年にネットバンキングでの認証に使用していた乱数表を廃止し、ワンタイムパスワードへの移行を発表しているが(過去記事)、現在でも一部のサービスで乱数表が必要な状況だった。しかし2018年7月15日以降、乱数表が完全に廃止されるという(三菱東京UFJ銀行の発表)。また、同時に従来必要だった「契約番号」の代わりに、代表口座の店番・口座番号でもログインが可能になる。

これにより、同サービスが提供するすべての機能を利用するために必要な情報が一種類減り、利用者は負担が減る。同サービスは平成28年6月12日から、主要な取引でワンタイムパスワード(スマートフォンアプリまたはカード)の利用が必須となっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • メガバンクの個人向けネットバンキングサービスの中では 物理トークンを使ったトランザクション署名 [mizuhobank.co.jp] に対応している、みずほ銀行が圧倒的に安全です。

    三菱東京UFJ銀行のパスワードカード [bk.mufg.jp] や 三井住友銀行のパスワードカード [smbc.co.jp] や ゆうちょ銀行のワンタイムパスワード生成機 [japanpost.jp]は、トークン(たぶん Digipass)自体は、トランザクション署名対応なのにも関わらず、銀行側が対応していないため、単なるワンタイムパスワード発行機としてしか使用できません。

    みずほ銀行のトランザクション署名は、中継型フィッシング・パソコンやスマホが遠隔操作やマルウェアによるMITBの影響下にあっても、トークンに振込先口座番号を入力しない限り(振込先の口座番号固有のワンタイムメッセージ認証コードを発行しない限り)は、不正振込を防げるという優れものです。せっかく大規模なシステム変更をするならば、他行はみずほ銀行を見習って安全な方式を導入すべきだったと思います。

    スマホを利用した認証方法については、PCで振込してスマホで認証するならともかく、スマホのみで完結しようとしたらスマホ1要素の認証にしかなっておらず、スマホがマルウェアに感染した場合に安全性が保てないので危険です。OSの月例パッチすらあたっていないまま放置された Android スマホは root 権限が悪意のある第三者に奪われる恐れがあり、認証アプリ自体の安全性が保てません。

    利便性のためにスマホでの認証の選択をユーザーに与えるだけならともかく、せっかくの トランザクション署名対応のテンキー付きトークン [bk.mufg.jp] を導入しているのに、それを単なるワンタイムパスワード生成器としてしか使えない三菱東京UFJ銀行のシステムは糞としか言いようがありません。

    • by Anonymous Coward

      ×三菱東京UFJ銀行
      〇三菱UFJ銀行
      名前変わったの知らんのか?

    • by Anonymous Coward

      過剰すぎるガラパゴスセキュリティは普及せず死ぬだけ

      • by Anonymous Coward

        世界的に有名なHSBCは、トランザクション認証トークン必須なの知らないの?
        更には引き出しなどがリアルタイムでSMS通知されるんだぜ

      • by Anonymous Coward

        世界のこと知らんのにガラパコス語るな
        むしろ日本のセキュリティが遅れているんだぞ
        中国ですら5年以上前から電卓型security deviceが普及してたぞ
        すごいことに日本のソレと違って中国のはちゃんとsecurity deviceのテンキーが機能して相手account no.をinputしてMACをoutputできる

        一方、日本のsecurity deviceのテンキーは飾りで機能しない(笑)
        見せかけだらけの張りぼて作るのは昔は中国の方だったが、今それやるのは日本になってしまった

        • by Anonymous Coward

          中国凄いよね
          VISAやマスターはいまだに4桁暗証番号orサイン認証だけど
          銀聯カードは6桁PINとサインの両方に加え、決済したらすぐにスマホに決済情報書かれたSMS届くからな
          どんどん発展していて最先端の技術が導入されていってるから日本も頑張らないと差を付けられちゃう

        • by Anonymous Coward

          張りぼてセキュリティはものすごく悪い意味で立派なガラパゴスだろう。
          「過剰セキュリティ」というのはちょっと違うが。

    • by Anonymous Coward

      ウイルス感染を考えたら一要素認証にしかなってないぞってのはサポートに突っ込んだんだけど、
      「心配だったらカード型をご利用ください」で回答されたよ。
      何度も「確認してまいります」うぃ繰り返されて回答もらうまで30分くらいかかったが。

      • by Anonymous Coward

        電凸してくれたか有難き幸せ
        BTMUはいまだにサイトも常時SSLじゃないしセキュリティ面でのセンスが無さ過ぎるわ

  • by honttt (48326) on 2018年03月09日 11時38分 (#3373706) 日記
    ローン返済用口座にしか使ってなかったからしらんかったな ということは財布に眠ってる乱数カードはもういらなくなるんだな
  • テーマカラーが緑の某都市銀行、てめーのことだよ。他にも同罪の銀行はあるけど。

    • by Anonymous Coward

      インターネットバンキングの方はセキュリティ設定から英数字8桁にできますが。

      • by Anonymous Coward

        あ、ほんとだ。一定期間変えていないパスワードの変更を要求される時には4桁のオプションしか示されないから気がつかなかった。

        しかしいまどき英数字8桁まで増やしたところで、100点満点のゼロ点から20点にグレードアップしただけのような・・・。

        • by Anonymous Coward

          結局初期ログインでできる行為に資金の移動および
          口座の開閉設がないから残高見られるだけで止まるからいいじゃんってのがありそう

    • by Anonymous Coward

      俺の使ってる銀行は、普通にログインする際に、契約者番号+ログインパスワード+乱数表というセットを要求するから、超絶めんどい。
      しかも、画面上に表示されるソフトウェアキーボードをデフォルトで使わせようとするのもうざい。無効にしようとするとまた警告がうざい。

      セキュリティ気にしてんだろうけど、UXとか何も考えてないわな〜。

  • by Anonymous Coward on 2018年03月07日 15時03分 (#3372707)

    ワンタイムパスワード必須って何だよ。
    そんなもんいちいち持ち歩いてられるかっての。

    インターネットバンキングの口座なんてどうせ
    なくなっても困らない程度の金額しか置かないんだから
    簡単なパスワードで十分だよ。

    • by Anonymous Coward on 2018年03月07日 15時09分 (#3372712)

      口座をもっていかれちゃう(悪人に)

      親コメント
    • by Anonymous Coward on 2018年03月07日 15時15分 (#3372717)

      UFJのワンタイムパスワードは同行のスマホアプリから発行できるので、あまり面倒に感じた事は無いですね。
      (且つ、アプリでの取引に関してはワンタイムパスワード入力不要)

      親コメント
      • by Anonymous Coward

        携帯端末もいつなくしてもいいようにしときたいから
        銀行と紐付けるのは気持ち悪い。

    • by Anonymous Coward on 2018年03月07日 15時49分 (#3372741)

      なくなっても困らない程度の金額しか置いてない客がサービスの対象外になっただけ。
      銀行も営利企業だからな。

      親コメント
    • by Anonymous Coward

      お前がそう思うんならそうなんだろう、お前ん中ではな

  • オリジナルのスマホアプリと同じ方法で、別のアプリが脆弱性なんかをついて、ワンタイムパスワードを、抜き取れると、乱数表以下の安全性になるとか。
    • by Anonymous Coward

      脆弱性を考えるなら、データ処理だけで完結するものは全部だめだな。
      ワンタイムパスワード+物理乱数表+ICカード+パスフレーズ+指紋+CAPTCHAくらいやれば、少しはましかな。

    • by Anonymous Coward

      だよね。
       
      三井住友のパスワードアプリを別のスマホに入れ直そうと思ったんだけど、
      Google Playで検索して出てきたのを入れるのは怖すぎる。
      で、三井住友のページ経由で入れようと思ったら、httpsじゃない。
      すぐ必要だったから入れたけどドキドキしたよ。

  • by Anonymous Coward on 2018年03月07日 16時35分 (#3372773)

    SMBCもワンタイムのみになったんだが、カードを持ち歩くなんて邪魔な上に無くしやすいし、
    スマホアプリはそもそもスマホのセキュリティが正直PC未満にしか思えない上に、これまた持ち歩くので無くしたり盗難にあいやすい。

    これまで専用VM内で口座のやりとりは完結していたので、猛烈不便になった上にそこまでセキュリティが上がった気はしない。
    androidをvm上で動かせば使えるかと思ったが、エミュレータチェックを入れてあるようで動作しなかった。このあたりの仕様もうんざり。

    スマホ上で完結するアプリのようなものもあるようだが、それこそ本末転倒じゃないのか。
    セキュリティの方向性が見えない上にともかく不便。(しかも預金を引っ越すには手数料ポイント消費という)

    スマホやワンタイムカード必須ではない銀行でお勧めあります?

  • by Anonymous Coward on 2018年03月07日 16時49分 (#3372785)

    なんか、持ち歩けないとかお怒りの方がいるようですが、
    いままで、乱数表持ち歩いてたの?

    • 三菱東京UFJ銀行の口座持ちですが、家で使う場合と職場で使う場合があるので、乱数表カードはサイフに入れて持ち歩いてましたよ。

      ワンタイムパスワードに移行してからは、インターネットバンキングをやめました。そもそも、ネットバンキングを使うのは「ヤフオクで落札代金の支払い」ぐらいだったので、今はたいてい「かんたん決済」でいけるので特に困らない感じ。

      親コメント
    • by Anonymous Coward

      グローブに貼り付けていました

      • by Anonymous Coward

        イニングごとに定期変更していましたよね

    • by Anonymous Coward

      乱数表っつーか、カードだけどな。

      アメリカでグレハン旅行した時は持っていったよ。
      何かあっても振込み手続きできるようにと。

      日本国内だと、まあごにょごにょ。

    • by Anonymous Coward

      うん。だってキャッシュカードの裏に書いてあるじゃろ?

  • by Anonymous Coward on 2018年03月07日 20時33分 (#3372939)

    スマホでワンタイムパスワードを表示しつつPCで振込とかできる環境ならいいんですが、
    スマホ1台でやろうとするとアプリとブラウザを行ったり来たりしないといけなくて、
    モタモタしてるうちにワンタイムパスワードが期限切れになったりして、すごく使いづらい。
    同時に表示できたらいいんですけど。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...