三菱東京UFJ銀行、個人向けネットバンキングで乱数表を完全に廃止へ 56
ストーリー by hylom
システムの都合だったのかな 部門より
システムの都合だったのかな 部門より
あるAnonymous Coward曰く、
三菱東京UFJ銀行は2015年にネットバンキングでの認証に使用していた乱数表を廃止し、ワンタイムパスワードへの移行を発表しているが(過去記事)、現在でも一部のサービスで乱数表が必要な状況だった。しかし2018年7月15日以降、乱数表が完全に廃止されるという(三菱東京UFJ銀行の発表)。また、同時に従来必要だった「契約番号」の代わりに、代表口座の店番・口座番号でもログインが可能になる。
これにより、同サービスが提供するすべての機能を利用するために必要な情報が一種類減り、利用者は負担が減る。同サービスは平成28年6月12日から、主要な取引でワンタイムパスワード(スマートフォンアプリまたはカード)の利用が必須となっている。
三菱東京UFJ銀行は物理トークン型のトランザクション署名にも対応すべきだった (スコア:4, 興味深い)
メガバンクの個人向けネットバンキングサービスの中では 物理トークンを使ったトランザクション署名 [mizuhobank.co.jp] に対応している、みずほ銀行が圧倒的に安全です。
三菱東京UFJ銀行のパスワードカード [bk.mufg.jp] や 三井住友銀行のパスワードカード [smbc.co.jp] や ゆうちょ銀行のワンタイムパスワード生成機 [japanpost.jp]は、トークン(たぶん Digipass)自体は、トランザクション署名対応なのにも関わらず、銀行側が対応していないため、単なるワンタイムパスワード発行機としてしか使用できません。
みずほ銀行のトランザクション署名は、中継型フィッシング・パソコンやスマホが遠隔操作やマルウェアによるMITBの影響下にあっても、トークンに振込先口座番号を入力しない限り(振込先の口座番号固有のワンタイムメッセージ認証コードを発行しない限り)は、不正振込を防げるという優れものです。せっかく大規模なシステム変更をするならば、他行はみずほ銀行を見習って安全な方式を導入すべきだったと思います。
スマホを利用した認証方法については、PCで振込してスマホで認証するならともかく、スマホのみで完結しようとしたらスマホ1要素の認証にしかなっておらず、スマホがマルウェアに感染した場合に安全性が保てないので危険です。OSの月例パッチすらあたっていないまま放置された Android スマホは root 権限が悪意のある第三者に奪われる恐れがあり、認証アプリ自体の安全性が保てません。
利便性のためにスマホでの認証の選択をユーザーに与えるだけならともかく、せっかくの トランザクション署名対応のテンキー付きトークン [bk.mufg.jp] を導入しているのに、それを単なるワンタイムパスワード生成器としてしか使えない三菱東京UFJ銀行のシステムは糞としか言いようがありません。
Re: (スコア:0)
×三菱東京UFJ銀行
〇三菱UFJ銀行
名前変わったの知らんのか?
Re: (スコア:0)
来月からです
行名変更のお知らせ | 三菱東京UFJ銀行 [bk.mufg.jp]
Re: (スコア:0)
いつ変わったんだ?
Re: (スコア:0)
三菱東京UFJ銀行 から 三菱東京UFJ銀行 に変わったの知らんのか?
Re: (スコア:0)
過剰すぎるガラパゴスセキュリティは普及せず死ぬだけ
Re: (スコア:0)
世界的に有名なHSBCは、トランザクション認証トークン必須なの知らないの?
更には引き出しなどがリアルタイムでSMS通知されるんだぜ
Re: (スコア:0)
世界のこと知らんのにガラパコス語るな
むしろ日本のセキュリティが遅れているんだぞ
中国ですら5年以上前から電卓型security deviceが普及してたぞ
すごいことに日本のソレと違って中国のはちゃんとsecurity deviceのテンキーが機能して相手account no.をinputしてMACをoutputできる
一方、日本のsecurity deviceのテンキーは飾りで機能しない(笑)
見せかけだらけの張りぼて作るのは昔は中国の方だったが、今それやるのは日本になってしまった
Re: (スコア:0)
中国凄いよね
VISAやマスターはいまだに4桁暗証番号orサイン認証だけど
銀聯カードは6桁PINとサインの両方に加え、決済したらすぐにスマホに決済情報書かれたSMS届くからな
どんどん発展していて最先端の技術が導入されていってるから日本も頑張らないと差を付けられちゃう
Re: (スコア:0)
張りぼてセキュリティはものすごく悪い意味で立派なガラパゴスだろう。
「過剰セキュリティ」というのはちょっと違うが。
Re: (スコア:0)
ウイルス感染を考えたら一要素認証にしかなってないぞってのはサポートに突っ込んだんだけど、
「心配だったらカード型をご利用ください」で回答されたよ。
何度も「確認してまいります」うぃ繰り返されて回答もらうまで30分くらいかかったが。
Re: (スコア:0)
電凸してくれたか有難き幸せ
BTMUはいまだにサイトも常時SSLじゃないしセキュリティ面でのセンスが無さ過ぎるわ
そうなってたんだ (スコア:1)
それよりログインパスワードが数字4ケタという暴挙をなんとかしてくれ (スコア:0, 興味深い)
テーマカラーが緑の某都市銀行、てめーのことだよ。他にも同罪の銀行はあるけど。
Re: (スコア:0)
インターネットバンキングの方はセキュリティ設定から英数字8桁にできますが。
Re: (スコア:0)
あ、ほんとだ。一定期間変えていないパスワードの変更を要求される時には4桁のオプションしか示されないから気がつかなかった。
しかしいまどき英数字8桁まで増やしたところで、100点満点のゼロ点から20点にグレードアップしただけのような・・・。
Re: (スコア:0)
結局初期ログインでできる行為に資金の移動および
口座の開閉設がないから残高見られるだけで止まるからいいじゃんってのがありそう
Re: (スコア:0)
俺の使ってる銀行は、普通にログインする際に、契約者番号+ログインパスワード+乱数表というセットを要求するから、超絶めんどい。
しかも、画面上に表示されるソフトウェアキーボードをデフォルトで使わせようとするのもうざい。無効にしようとするとまた警告がうざい。
セキュリティ気にしてんだろうけど、UXとか何も考えてないわな〜。
ワンタイムパスワードとかやめてくれ (スコア:0)
ワンタイムパスワード必須って何だよ。
そんなもんいちいち持ち歩いてられるかっての。
インターネットバンキングの口座なんてどうせ
なくなっても困らない程度の金額しか置かないんだから
簡単なパスワードで十分だよ。
Re: (スコア:1)
口座をもっていかれちゃう(悪人に)
Re:ワンタイムパスワードとかやめてくれ (スコア:1)
UFJのワンタイムパスワードは同行のスマホアプリから発行できるので、あまり面倒に感じた事は無いですね。
(且つ、アプリでの取引に関してはワンタイムパスワード入力不要)
Re: (スコア:0)
携帯端末もいつなくしてもいいようにしときたいから
銀行と紐付けるのは気持ち悪い。
Re: (スコア:0)
スマホを遠隔操作されるところまでやられたら、ワンタイムパスワードなんぞもはや関係なくゲームオーバーだろう。
Re: (スコア:0)
そうなんですか?
電卓型とか、USBメモリ型でOTP表示するデバイスを使えば、
一定時間後にスマホを遠隔操作されても安全だと思っているのですが。
Re: (スコア:0)
言い負かされそうになると全く違う前提条件を引張り出してくるような残念な頭があると、ワンタイムパスワードなんぞもはや関係なくゲームオーバーだろう
Re: (スコア:0)
「OTPがスマホアプリから発行できる」に対して「スマホを遠隔操作されたら終わり」と言った。
「スマホを遠隔操作されたらOTPいかんにかかわらず終わり」と言われたから「スマホアプリからではないOTP発行はスマホを遠隔操作されても一応安全ではないか」と言った。
そしたら「全く違う前提条件を引っ張り出した」といわれた。
どうして全く違う前提条件なのか、意味が分からない。
Re: (スコア:0)
えっと……あれだ。とにかくゲームオーバーだろう。
Re: (スコア:0)
#3372776だけど
遠隔操作でスマホアプリを操作されてOTP盗まれるって意味では別デバイスで防げるけど
MITB仕込まれるところまで手の込んだ攻撃には耐えられないから
まあ#3372733のいってることもわかるってことでいーや
#3372762の全く違う前提条件とかは当ての外れた指摘だとは相変わらず思うけどね
Re: (スコア:0)
かっとなって的外れなコメントを載せた後、よく考えてみると自分が的外れだと気がついて捨て台詞しちゃうような残念な頭があると、ワンタイムパスワードなんぞもはや関係なくゲームオーバーだろう
Re: (スコア:0)
「全く違う前提条件は当ての外れた指摘」に対して君は反論できてないのだが
Re: (スコア:0)
自分で認めちゃってるのに忘れて反論できてないとか言っちゃうな残念な頭があると、ワンタイムパスワードなんぞもはや関係なくゲームオーバーだろう
Re: (スコア:0)
誰も認めてなんかいないのですが。それで反論は?
Re: (スコア:0)
盗まれたところで、漏れるのはワンタイムパスワードだけだし。
他に取引パスワードなどが必要。
というのは建前ではあるが、気持ち悪さはあるわな。
しかしながら、世の中の多くの人が、銀行のアカウントのログイン情報をフィンテック企業に預けちゃってんだよね。
決済に必要な要素の一部を他人に預けるという意味では、スマホを盗まれる、も同じくらいのもんだと思う。
気にしない人は気にしないのよ。
Re:ワンタイムパスワードとかやめてくれ (スコア:1)
なくなっても困らない程度の金額しか置いてない客がサービスの対象外になっただけ。
銀行も営利企業だからな。
Re: (スコア:0)
お前がそう思うんならそうなんだろう、お前ん中ではな
スマホのワンタイムパスワードが乱数表以下にならないの? (スコア:0)
Re: (スコア:0)
脆弱性を考えるなら、データ処理だけで完結するものは全部だめだな。
ワンタイムパスワード+物理乱数表+ICカード+パスフレーズ+指紋+CAPTCHAくらいやれば、少しはましかな。
Re: (スコア:0)
だよね。
三井住友のパスワードアプリを別のスマホに入れ直そうと思ったんだけど、
Google Playで検索して出てきたのを入れるのは怖すぎる。
で、三井住友のページ経由で入れようと思ったら、httpsじゃない。
すぐ必要だったから入れたけどドキドキしたよ。
SMBCは改悪 (スコア:0)
SMBCもワンタイムのみになったんだが、カードを持ち歩くなんて邪魔な上に無くしやすいし、
スマホアプリはそもそもスマホのセキュリティが正直PC未満にしか思えない上に、これまた持ち歩くので無くしたり盗難にあいやすい。
これまで専用VM内で口座のやりとりは完結していたので、猛烈不便になった上にそこまでセキュリティが上がった気はしない。
androidをvm上で動かせば使えるかと思ったが、エミュレータチェックを入れてあるようで動作しなかった。このあたりの仕様もうんざり。
スマホ上で完結するアプリのようなものもあるようだが、それこそ本末転倒じゃないのか。
セキュリティの方向性が見えない上にともかく不便。(しかも預金を引っ越すには手数料ポイント消費という)
スマホやワンタイムカード必須ではない銀行でお勧めあります?
べつにATMでつかうわけじゃあるまい (スコア:0)
なんか、持ち歩けないとかお怒りの方がいるようですが、
いままで、乱数表持ち歩いてたの?
Re:べつにATMでつかうわけじゃあるまい (スコア:1)
三菱東京UFJ銀行の口座持ちですが、家で使う場合と職場で使う場合があるので、乱数表カードはサイフに入れて持ち歩いてましたよ。
ワンタイムパスワードに移行してからは、インターネットバンキングをやめました。そもそも、ネットバンキングを使うのは「ヤフオクで落札代金の支払い」ぐらいだったので、今はたいてい「かんたん決済」でいけるので特に困らない感じ。
Re: (スコア:0)
グローブに貼り付けていました
Re: (スコア:0)
イニングごとに定期変更していましたよね
Re: (スコア:0)
乱数表っつーか、カードだけどな。
アメリカでグレハン旅行した時は持っていったよ。
何かあっても振込み手続きできるようにと。
日本国内だと、まあごにょごにょ。
Re: (スコア:0)
うん。だってキャッシュカードの裏に書いてあるじゃろ?
Re: (スコア:0)
いや、普通別だろ
どこの銀行だよ
Re: (スコア:0)
じぶん銀行
キャッシュカードは使用時だけ携帯しろという事らしい
http://www.jibunbank.co.jp/help/login_guide/ [jibunbank.co.jp]
Re: (スコア:0)
いや、普通別だろ
どこの銀行だよ
イオン銀行のイオンバンクカード
https://faq.aeonbank.co.jp/faq_detail.html?id=150 [aeonbank.co.jp]
使いづらいんですよね、これ (スコア:0)
スマホでワンタイムパスワードを表示しつつPCで振込とかできる環境ならいいんですが、
スマホ1台でやろうとするとアプリとブラウザを行ったり来たりしないといけなくて、
モタモタしてるうちにワンタイムパスワードが期限切れになったりして、すごく使いづらい。
同時に表示できたらいいんですけど。
Re:使いづらいんですよね、これ (スコア:2)
ワンタイムパスワードってそんな起源短いもんなの
一個ぐらいずれても行けると思ってた
ちょーどもうすぐこれが発行されるから試してみるか