三井住友銀行ネットバンクの暗証が数字4桁になった件

高木先生案件かもしれません。

ネットバンクでは基本的にトークン(ワンタイムパスワード生成機)を使うようにしています。トークンとは一定時間毎に暗号化による6桁のパスワードを表示する親指くらいの大きさのデバイスです。

ジャパンネット銀行ですと、ログイン時はパスワード(自分で決めた英数字最大8文字)でログイン可、振込みや限度額変更など重要な処理の場合にトークンが表示するワンタイムパスワードを入力という合理的な設計になっています。

一方、三井住友銀行(SMBCダイレクト)はログイン時はパスワード(自分で決めた英数字最大8文字)とトークンのワンタイムパスワードの両方が必要、そして、振込みや限度額変更など重要な処理の場合にはもうトークンは関係なくて、昔ながらの暗証カードが必要、という変てこな仕様になっていました。

これですと外出先から振込みがあったか確認したいなんて場合にトークンを持ち歩かなければなりません(口座が複数あると口座ごとのトークンが必要)、また、セキュリティ上の脆弱性である暗証カードが結局必要になるので、何のためにトークン使ってるのかわかりません。しかも条件によっては月100円くらい利用料を取られます。

しかし、最近、三井住友から、新しいパスワードカードが使えるようになったということで連絡が来ました。ログインはパスワードのみで可能、暗証カードは不要ということで、ジャパンネット型の仕様に変更になりました。しかも利用料無料化ということで願ったりかなったりというこで切り替えを申し込みました。

で、新パスワード生成器(従来のトークンよりちょっとかさばります)の登録をしてみました(登録先の電話にシステムが電話かけて認証番号入れさせるステップが入っていて、登録は会社でやっていたのに、登録電話は自宅の電話になっていたのでちょっと参りましたが)。

さて、重要なポイントはここからです。登録の過程で、第一暗証(ネットバンクへのログインパスワード)の変更を求められたのですが、今までは英数字最大8文字だったのが何と数字4桁強制です。これを理由に切り替えをためらっています。

数字固定桁パスワードというと最近JALのマイレージサイトの事故に結びついた脆弱性として有名です。

一部報道記事でもわかってないものがあるみたいなので、ここで、一応説明しておくと、数字固定桁パスワードはリバースブルートフォースアタックに対してきわめて脆弱です。通常のブルートフォースアタックは特定のIDに対して多数のパスワードをトライする攻撃方法ですが、リバースブルートフォースアタックはパスワードの方を固定して、ユーザーID(会員番号、口座番号等)の方を変えてトライしていく攻撃方法です。狙った特定のアカウントに不正アクセスするのではなく、誰でもいいのでとにかく不正アクセスできればよい場合に使われます。数字4桁のパスワードで、ユーザー数10万であれば、平均して10アカウントには不正アクセスできることになってしまいます。

パスワードを一定回数間違えるとアカウントを無効にするとか、パスワードの変更をお願いするなんて対策はリバースブルートフォースアタックには無力です(なお、前者はネット系サービスだとDoSアタックに結びつくので別の意味で問題です)。特定IPからのログイン試行が短期間に連続したらブロックするという対応は取れますが。

三井住友銀行の場合は、ログイン時に第一暗証に加えてパスワードカードも必要とする設定にすることはできます(ただそうすると結局(かさばる)パスワードカードを持ち歩かなければいけないという元々の問題が生じます)。

また、ネットバンクの第一暗証はキャッシュカードの暗証と同じにする必要はないのですが、結局めんどうで同じにする人は出てくると思いますので、これまた、不正アクセス問題の種となりそうです。

あんまりこういうことは言いたくないですがこの設計をした人の顔が見たいです。

追記:三井住友のネットバンクのログインパスワードは最初から数字4桁だったとの意見が聞かれるので説明しておきます。確かに、元々は数字4桁でした(記憶が定かでないですが初期値はキャッシュカードの暗証番号と同じだったと思います)。しかし、どこかのタイミングで英数字4文字から8文字の形式に変更できるようになりました。その機能強化が今回の新パスワードカードの採用に伴って元に戻ってしまったということです。パスワードカードがないと振込み等はできないので最終防御壁はあるのですが、不正アクセスされて口座情報が見られるだけでも困りますし、キャッシュカードの暗証番号とログインパスワードを同じにしている人がいると、上記のリバースブルートフォースアタックで口座番号と暗証番号が同時に盗まれるリスクがありますので非常によろしくない設計です。

なお、なぜ自分がジャパンネットに統一しないかというと、海外送金関係と特許料金の口座振替が理由です。最近、海外送金は手数料が安い(ただし、ネットバンクの使い勝手は極悪)しんせい銀行に切り替えつつあるのですが、特許料金口座振替だけはどうしようもないので。

追記^2: しょうがないのでキャッシュカードの暗証番号とは当然違う数字4桁パスワードを設定して切り替えました。そこで、すごいものを見てしまいました。今までの仕様では、登録していない振込先への振込みは暗証カードが必要でしたが、登録済みの振込先には暗証カードなしでいきなり振込みできてました。ログイン時に一度トークンで認証しているからよいだろうという発想でしょう。しかし、新ログインカードになってからもこの仕様は踏襲されており、いったんログインしてしまえば、登録済みの振込み先にはパスワードカードなしで(当然暗証カードもなしで)いくらでも振込みできてしまいます(さらに追記:パスワードカードが常に必要になるようにも設定できることがわかりました、どうもすみません)。口座を登録しているからには一応信頼できる相手なわけですが、ちょっと怖いですね。新ログイン方式ではパスワード(数字4桁)のみかパスワード(数字4桁)+パスワードカードのワンタイムパスワードの組み合わせが選べるのですが、後者にしておかないとちょっと怖いなと思いました。

ところで、ジャパンネットでは、登録している振込み先であってもトークンのパスワードは必要です。ただし、特定の振込み先をトークン不要なように設定することができます(もちろん、トークン不要に設定するためには最初だけトークンのパスワードが必要です)。どう考えてもこちらの方が利便性と安全性のバランスが取れていると思います。

関連記事:

カテゴリー: IT パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です