パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

銀行ウェブサイトの大半はセキュアではない?」記事へのコメント

  • by Anonymous Coward
    以前に中の人とネットバンキングに関する雑談をしていたときのこと。

    彼曰く”僕は怖いから(ネットバンキング利用可能な)登録しませんよ。”と。
    そこらへんにすべてが集約されているのだと思います。

    以前のパスワードひとつの新生銀行などはやられ放題でしたし、乱数表をつかっている銀行も大したことない
    と思います。

    特に住友信託銀行、ひどいですね。乱数表からの数字がログインや試行のたびに要求されるのですが、要求
    されるのは乱数表10個のうちの2個。
    しかも乱数は10個しかないうちの小さい順に2つという組み合わせなので、スパイウェアが入ったPCなら
    あっというまに
    • >しかも乱数は10個しかないうちの小さい順に2つという組み合わせなので、スパイウェアが入ったPCなら
      >あっというまに乱数全部ばれてしまいます。

      スパイウェアが入ってるならその時点でもうアウトだと思うんですが。
      乗っ取ったマシン上ではぶっちゃけ何でもできるわけだから、例えば、

      ユーザが銀行サイトにログインし、振込みなどの操作を行うのを待ち構えて、その操作をした瞬間に便乗して(=正規の手順でログインした状態で)自分の口座への送金処理をバックグラウンドでやる
      なんて攻撃がありえます。これをやられたらどれだけ認証手段を強化しても無意味。

      一定のレベルまで認証などを強化することは、カジュアルなアタックを防ぐという意味から当然必要ですが、そこから先はむしろスパイウェアとかフィッシングサイトに引っかからないよう啓蒙する、というレベルの話になってくるのではないかと。

      • by Anonymous Coward on 2008年07月29日 18時19分 (#1392955)
        その攻撃、1回目は成功する可能性がありますが、2回目以降はジャパンネット銀行などのSecurID採用
        サイトでは比較的困難ですね。そのために、他にもメール通知や一日あたりの御利用限度額、未登録先
        への御利用限度額設定などのより多層の防護があるわけです。
        ジャパンネット銀行は日本のネット銀行の中では比較的進んでいる方かと思います。

        もちろん、ユーザーへの啓蒙は必要です。しかし、それだけでは精神論に過ぎませんね。

        電気機器の防水処理の設計を行う際、”機器の内側に水を一滴も入れない”という思想と”万一多少
        入ったとしても実用上問題ないようにする”という思想があります。
        米軍の軍用機材なんかは後者ですね。日本人の設計した機器は前者が多いのではないでしょうか。
        もちろん大きさやコスト勘案という事情もあります。

        スパイウェアも似たようなものだと思います。どこまでがスパイウェアか、判断するのは難しい場合
        もありますし、既知ではないスパイウェアの可能性もあります。

        そこまで含めて設計出来ていなければ、セキュリティの優れたサイトとは私は思いません。
        親コメント
        • by Anonymous Coward

          その攻撃、1回目は成功する可能性がありますが、2回目以降はジャパンネット銀行などのSecurID採用サイトでは比較的困難ですね。

          技術に疎い人はそう思っちゃうんだろうけど、ぜんぜん困難じゃない。中継して一部を書き換えるだけ。
          詳しくは以下をどうぞ。フィッシングの例で書かれてますが、スパイウェアも同じこと。

          対策にならないフィッシング対策がまたもや無批判に宣伝されている [takagi-hiromitsu.jp]

          • by Anonymous Coward
            ジャパンネット銀行を使ってから書こうね。

            あなたの示すURLにジャパンネット銀行の件が書いてありましたか?
            SecurIDの脆弱性が書いてありましたか....。

            1度目が成功しても2度目が成功しないという意味を把握できていますか?
            Man In the Middle Attackの成功の可能性を否定していないんですよ。素人の揚げ足取りは困ります(笑)。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...