北洋銀行、Webサービスでキャッシュカードの暗証番号の入力を求める 55
ストーリー by hylom
これが日本の一般企業のセキュリティです 部門より
これが日本の一般企業のセキュリティです 部門より
あるAnonymous Coward曰く、
北海道に拠点を置く北洋銀行(第二地方銀行)では、各種オンラインサービスと連携を図りやすくするため「ほくようID」というものの発行に力を注いでいるようだ。ところがこの「ほくようID」を発行すべくオンラインで手続きを進めると、キャッシュカードの暗証番号を入力しろとの案内が出る。
ほくようIDの「よくあるご質問」ページには「ユーザー登録やパスワード再設定の際に、ご本人確認のため暗証番号の入力をお願いしております。暗号化技術を採用し、セキュリティに十分配慮しておりますので安心してご利用ください。」とある一方、北陽ダイレクトの「よくあるご質問」ページなどでは、「当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません」とある。
はたして一般的な利用者は、ほくようIDの暗証番号入力画面が正規の北洋銀行のWEBサーバーだとどのように認識するのだろう。「ほくようID」の発行サイトを装ったサイトを作れば、口座番号も氏名も生年月日も、さらには暗証番号までも、すんなりと手に入れられてしまうだろう。
フィッシングに注意を促すべき銀行自体が、その手口を理解していないようにも思えるこの事案。あっちはダメでこっちはよいという、ダブルスタンダードを掲げる金融機関のセキュリティポリシーに疑問を感じざるを得ない。
最も第二地方銀行くらいの情報部門にそこまで考えろというのは荷が重いのかもしれないが:p
メガバンクのWeb口座も (スコア:1)
暗証番号がデフォルトのパスワードだし、さして変わらない気がするが…
Re:メガバンクのWeb口座も (スコア:2)
私もそんな気がする
> 当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません
ってのもメールやはがきじゃ聴かないよって話じゃないですかね
ATMじゃ聴いてくるんだし、登録完了後もページでパスワードも入れなきゃいけないんでしょ
まー金の事だし厳しくしたいのとあらゆる人を相手にしたいから難しくはできないのとかなりアンビバレンツなんだよな
登録と確認は簡単にして時間で権利拡大(Web登録1週間は1万円まで、ひと月は10万まで)
とかどうだろう
無理あるか…
Re: (スコア:0)
>ってのもメールやはがきじゃ聴かないよって話じゃないですかね
メールやはがきもですけど、基本は電話だと思ってました。
「あなたの口座が不正利用されています」的な奴や、オレオレ詐欺、還付金詐欺とのセットの奴。
Re: (スコア:0)
地方の信金の支店で大口預金者とかだと
「会社の支払いで100万いるからおろして昼ごろ持ってきて」で支店長が現金持ってきて
帰りに通帳と印鑑持って帰って、部下が後で通帳持って来たり
その孫がつい先日、キャッシュカード紛失時に電話で再発行と新しい暗証番号伝えて変更して
キャッシュカードに同封されている申請書にバックデートで記入して返送なんて事も
そこそこの年齢まで信金は行く物ではなく、呼ぶものだと思っており
大人になって初めて銀行に口座作ろうとした時の融通の利かなさにに驚愕した孫なのでAC
Re: (スコア:0)
イオン銀行は、自転車保険プレゼントキャンペーンでも必要。
https://www.aeonbank.co.jp/insurance/campaign/180803_01.html [aeonbank.co.jp]
Re: (スコア:0)
右に同じく。某三井住友のWebだって、4桁の番号をお入れくださいになってる。
いやまあ、この4桁の番号はイコール暗証番号じゃないんだが、とはいえ一つの銀行に複数の4桁の番号を使うセキュリティ意識の高い奴なんてそうそう居ないから、結局大多数の人は暗証番号になるだろう。
普通にパスワード使わせて欲しい。
Re:メガバンクのWeb口座も (スコア:1)
SMBCはWeb用暗証番号は一応8桁に変更出来るよ
まあ所詮数字8桁だけどね
Re: (スコア:0)
新生銀行だと、いまでも口座番号+暗証番号+オンラインパスワードでのログインです。
ネットバンキング黎明期からのシステムですし。
そんなのかんけーねー (スコア:0)
>最も第二地方銀行くらいの情報部門にそこまで考えろというのは荷が重いのかもしれないが
いや、れっきとした日本円扱ってる銀行のコモンセンスとしてそれくらいしっかりしてほしいでしょう。
日本円じゃなくてガバスだったらそれでもいいですが
# どこかに間抜けがいたようだな
Re:そんなのかんけーねー (スコア:1)
軽く見てはいけない。
Re: (スコア:0)
銀行口座なんていくつでも作れるんだから、
インターネットバンキングの口座には盗られても困らない程度だけ入れといて
大金はもうちょっとましな銀行の通帳と判子だけの口座にわけときゃいいんじゃないかなぁ。
Re:そんなのかんけーねー (スコア:1)
Re: (スコア:0)
同じパスワードを複数の金融取引で使ってしまう
それ、一時期やってました。
で、A銀行のATMで、A銀行のカードでお金をおろそうとして間違えてB銀行のカードを突っ込んでいて、取引が成立した瞬間に「手数料」の項目を見て間違いに気づいて、悲しくなったことがあります。
#そっこーで片方の暗証番号を変更した。
「通帳と判子」が一番危ないんですけど (スコア:0)
被害額の統計からしてインターネットバンキングの不正利用って大した被害出てないです
ATMやインターネットバンキングの不正利用は60日以内ぐらい(銀行によって異なる)に申告すれば被害額が補てんされることが多いですが
窓口での不正利用は通帳と印影さえ一致していれば補てんされません
印は銀行員の目の前で押印する必要はなく払戻請求書の印影が一致していれば良いので偽造も容易です
つまり通帳が盗まれたら全額引き出されてしまう恐れがあるわけです
ってことでむしろ通帳が無く窓口で引き出せない口座が一番安全です。
なお不正利用に気が付かないと補てんされることは無いので月1回は取引履歴を確認する必要ありです
Re:「通帳と判子」が一番危ないんですけど (スコア:1)
そもそも今どきは通帳に押印してない。
印影の照合はオンラインで行ってる。
Re: (スコア:0)
いや、普通に窓口での不正引き出しされる場合が最も被害が少ないんだけど、なんでネットバンクの方は被害額の大小で安全と判断し、片方は「通帳が盗まれたら全額引き出される可能性」で安全ではないとか言ってんの?
それを言ったらパスワードを取られたらネットバンキングだって最終的に全額引き出されてしまう可能性があるんだから十分に危険じゃんか。
保障についても、預金者保護法の話をしてんなら、その法律を元に
Re: (スコア:0)
だよね。
通帳もって銀行窓口に行って、バレたら速攻で現行犯逮捕やもん。
普通に警備員もいるし防犯カメラもあるから、証拠にも残りやすくて、犯人のリスクが大きい。
これに較べればネットバンキングや振り込め詐欺は、仮にバレても逮捕される可能性が
ほぼ0%なので、犯人としては実に美味しい。
Re: (スコア:0)
複数口座は持てても、総合口座は一つしか持てないし、
昨今は本人確認と使徒の明確化が義務づけられているから、
「なんとなく」でホイホイと口座を作れる時代ではございませんよ。
Re: (スコア:0)
https://gmo-aozora.com/service/purpose.html [gmo-aozora.com]
ホイホイ作れるよ
口座開設の手紙来てから1週間も経ってないのに事例が載ってるとか、嘘つきじゃん
Re: (スコア:0)
ホイホイ作れないのはマネロン対策なので、この例は見当はずれかと。
Re: (スコア:0)
これって、元々の口座に紐づいた仮想口座(?)で、物理的な口座は一つしかないみたい。
元々の話は、同じ銀行では2つ目以降の新規の口座を簡単には作れないってこと。
まぁ、それなりに簡単に作れはするんだけど、新規の口座を持つ理由を聞かれて、その銀行が合理的な理由と判断してくれないと拒否される。
理由があれば作らされるよ (スコア:0)
複数口座は持てても、総合口座は一つしか持てないし、
ダウト!
原則として正当な理由が無ければ住所地や勤務先の付近しか作れないものの理由があれば作れるし、というか作らされる
流石に同じ支店には複数口座は作れないと思うけどね(屋号有りと屋号無しとかなら作れるかもしれんけど)
俺なんて作りたくないのに、給料振込用にここに作れだの出張旅費精算用にここに作れだの管理支店を変更したからこっちに作れ直せだの言われまくって、現在有効なみずほ銀行の総合口座だけで5個もある(全部個人名義の口座で支店が違う)
Re:理由があれば作らされるよ (スコア:1)
実質休眠させている旧第一勧銀口座と旧日本興銀口座にアクセスできるように
どうこうするとわたしも5つになるのかも。
そのうち各旧本店が3つも。
Re: (スコア:0)
盗られても困らない額の貯金しかない俺が最強だろうな。
Re: (スコア:0)
こういうのに「規格」ってあってもいいと思う
セキュリティの規格。
銀行協会とかで決めればいい
むしろ、各銀行でてんでバラバラに決めてる現状っておかしくない?
Re:そんなのかんけーねー (スコア:1)
規格を作ることより、それを担保するのが難しいよね。
というか、規格だけならPCI DSSとかでいいんだし。
問題は。
現状のPマークみたいに、準拠できてないことが事故で露見しても取り消されないガバガバ運用では、審査が甘過ぎて意味がないし。
逆に厳しくしすぎると銀行が機能不全になりかねないことじゃない?それで取り付け騒ぎとかになったら、消費者保護的にも本末転倒だし。
Re: (スコア:0)
がんばれば規格は作れるんだけど、安全な規格が受け入れられるとは限らない
例えば「8桁のパスワードより四単語の方が安全です」とか「秘密の質問は危険です」ということをどう言葉を尽くして語っても、
「記号を取り混ぜた短くて難しいパスワード! 推測できない! いいじゃないか!」「本人しか知らないはずの情報! 本人確認になる! いいじゃないか!」と
間違った肌感覚のために従うだけで危険な規格が作られてしまうことが容易にあり得るので、規格化それ自体とは違った難しさがある
パスワードの定期変更を強制しているとかいうPCI DSSはそのいい例だと思う
だから安全な規格を策定して採用させるのは難しい
第二地方銀行には荷が重い (スコア:0)
webからルート証明書をインストールさせようとしたメガバンクがありましてね(さすがにすぐ案内ページを削除したようだけど)
https://srad.jp/submission/77187/ [srad.jp]
Re:第二地方銀行には荷が重い (スコア:4, おもしろおかしい)
ちなみにその手順を実行しようとしたときFirefoxで表示されるメッセージ
おっそうだな
Re: (スコア:0)
「この銀行は出来損ないだ。明日、メガバンクに来てください。本物の銀行というやつを見せてやりますよ」
Re: (スコア:0)
(タイトルつながりで)
拓銀亡き後今一つパッとしない道銀を追い抜いてブリブリ言わせているのが
北洋銀行という記事を見たことがあるような記憶があるのだが
ほんとのところはどうなんだろ。
めんどくさい (スコア:0)
口座の暗証番号、ウェブ用のIDとパスワード、キャッシュカード用の暗証番号、デビットカード用の暗証番号、ワンタイムパスワード、あと乱数表、指紋認証、スマホアプリ用のパスワード
銀行口座作るだけで何個パスワード必要なの?不便すぎる。
Re:めんどくさい (スコア:1)
多くの人は銀行に1000万とかそれ以上の大金を預けてる訳で
それなりの不便さは仕方ないのでは?
Re: (スコア:0)
みんな箪笥に入れてるんじゃないの?
Re: (スコア:0)
多くの人は銀行に1000万とかそれ以上の大金を預けてる訳で
いえいえ
より多くの国民は貯金より借金のほうが多いので大丈夫です
銀行も最低だけど作ったやつを晒すべき (スコア:0)
明らかにおかしな仕様をそのまま実装した会社を知りたい
Re:銀行も最低だけど作ったやつを晒すべき (スコア:5, 興味深い)
元拓銀のシステムを拡張して使い続けているので、IBMのはず。
Re:銀行も最低だけど作ったやつを晒すべき (スコア:2)
実装した会社よりも、要件を決めた銀行のほうがはるかにダメなんじゃないの?
いっそ個々の銀行に要件を決めさせてはイカンのかも?
Re:銀行も最低だけど作ったやつを晒すべき (スコア:1)
この銀行、サービスもこの通りだけど、アプリも酷いもので
オンラインは使うなと言わんばかりの鉄壁のクソ仕様なんだよ。
セキュリティ強化の名の下、ワンタイムパスワードは8桁もあるし、スマホアプリのくせにログイン情報の保持もできない。
情報部門なのか関連情報会社なのかは知らないけど、相当な無知者が権限を握っていると見た。
Re:銀行も最低だけど作ったやつを晒すべき (スコア:1)
コレじゃないけど、口座振替、クレカ、用紙振込、代引など複数選択肢があっても、手間と手数料の問題で使わせたくない選択肢を、ワザと面倒かつ複雑にして他の方法に誘導する設計を頼まれたことがある。
特定業種に必須なシステムで、親方日の丸だからクレーム聞く気も売上拡大も必要ないから、サービス提供側だけの都合だけで利用者を振り回すアレな仕事でした。
Re: (スコア:0)
ドメインからするとTSUBASAプロジェクトの機能なので、日本IBMなんじゃないかね
Re: (スコア:0)
いつのまにかURLに#!を使うのも時代遅れになっちゃったね
Javascript無効にしてたら使えないというひどい仕様だし
なんかおかしい (スコア:0)
みんな当然のごとくこのサイトが正しい前提でコメしてるけど、サイトを乗っ取られて改ざんされた可能性はないの?
北洋銀行の中の人がニュースで気がついて慌ててたりはしてないの?
Re: (スコア:0)
論じないから「論外」ってんだよ
Re: (スコア:0)
コールセンターに確認したけど、確かにキャッシュカードの暗証番号を入れるというオペレーションだったよ。
新生銀行も (スコア:0)
店番号、口座番号、暗証番号、パスワード、セキュリティカード(乱数表)に書かれた3つの数字、を入力しないとログインできなかった。
Re: (スコア:0)
あなたは例えばアメリカの登記簿謄本を見て、それが本物かどうか見分ける知識がありますか?
自分がたまたま知っている分野の知識をひけらかし、他人を蔑むのは賢い人間とは思われません。
世の大部分はSSL証明書の存在も、米国登記簿謄本も知らないバカだらけです。
Re: (スコア:0)
Web閲覧なんて専門分野でも何でもないだろ
そろそろ食べ物の賞味期限表示みたいに理解できて当たり前になってくれなきゃ困る
Re: (スコア:0)
登記簿は確認のために金払わないといけない壁があるから、それと比較するのはちょっとねぇ
Re: (スコア:0)
…何イキってるの?