二要素認証はしてるけど・・・
INTERNET Watchの記事に、 ネットバンキング不正送金が多発、ウイルスでID・パスワード取得 てのがありました。
ネットバンキングって便利ですよね。中の人も使ってるわけですが、ネットバンキングでの「不正送金が多発」ってのがいまいち理解できなかったんです。何が分からないかっていうと、基本的にネットバンキングって振込の際は「二要素認証」で認証してるじゃないですか。
二要素認証してるのに、振り込まれちゃうわけぇ?(?_?)
これが不思議だったんです。なのでメガバンクだけ調べてみたら・・・
INTERNET Watchの記事に、 ネットバンキング不正送金が多発、ウイルスでID・パスワード取得 てのがありました。
ネットバンキングって便利ですよね。中の人も使ってるわけですが、ネットバンキングでの「不正送金が多発」ってのがいまいち理解できなかったんです。何が分からないかっていうと、基本的にネットバンキングって振込の際は「二要素認証」で認証してるじゃないですか。
二要素認証してるのに、振り込まれちゃうわけぇ?(?_?)
これが不思議だったんです。なのでメガバンクだけ調べてみたら・・・
みずほ銀行:
ご利用カードに記載されている第2暗証番号(6桁)のうち、ログインごとに異なる4つの数字を入力する方法
三菱東京UFJ銀行:
みずほと同様にご契約カード記載の確認番号を入力する方法
三井住友銀行:
ワンタイムパスワードトークン(別途申し込みが必要で有料)による認証も可能
って感じなんですねぇ。これはチョットビックリしました。
あぁ二要素認証の二要素目が弱いのね・・・
これが正直な感想です。二要素目の認証方法がみずほや三菱東京UFJの場合、利用者に送られてくるご利用者カードみたいなものに、乱数が記載されていて、振込の際にその乱数の「3番目記載の番号」、「5番目記載の番号」、「1番目に記載番号」てな感じで入力して認証するわけですよ。
つまり、基本的に二要素目は固定なんですね。
三井住友銀行もワンタイムパスワードトークンを利用できるんですが、別途申し込みが必要な上に有料だそうですよ。コレだとメンドイし使わない人も出てくるだろうなぁと・・・
で、不思議だと思ってたのは、中の人がネットバンキングを利用するのはジャパンネット銀行(以下JNB)なんですが、JNBの場合、すべての口座で無料でワンタイムパスワードトークンが与えられているので、二要素目の認証がかなり強力です。
このJNBを日常的に使ってるので、他行の2要素認証も当然同等だろうと思ってたので、今回の記事が不思議だったんですねぇ。まぁJNBの肩持つわけじゃないんですがwww
「そんなに簡単に振り込めないだろぉ?ワンタイムパスワードトークンの認証があるんだし・・・どうやってワンタイムパスワードを突破するんだ?物理的に盗みのか?」
と思ってたわけですよ。当然のように・・・ 記事にある・・・
また、フィッシングによる手口としては、ネットバンキング利用者に金融機関を装ってメールを送付。セキュリティ向上のためと偽り、あらかじめ開設しておいた偽サイトに誘導し、ID・パスワード、第2パスワード用の乱数表を入力させる。犯人は、これらを使ってネットバンキングに不正アクセスしている。
ってところが解せなかったのは、ワンタイムパスワードの場合、「乱数表」は無いんですよ。ところが今回調べてみた銀行では基本「乱数表」を使ってるんですね。
これだと、フィッシングにやられたら、モロバレかもしれませんねぇ。こんなにセキュリティが重要であるはずの銀行なのに、二要素認証してるとは言え、チョット脆い感じですねぇ。最低限ワンタイムパスワードトークンやGoogleが導入してるケータイでの二要素認証なんかを導入すべきだと思いますよ。
ネットバンキングをご利用中の方は、ご利用カードの「乱数表」の管理はくれぐれもご注意くださいね!
ワンタイムパスワードトークン(別途申し込みが必要で有料)による認証も可能
って感じなんですねぇ。これはチョットビックリしました。
あぁ二要素認証の二要素目が弱いのね・・・
これが正直な感想です。二要素目の認証方法がみずほや三菱東京UFJの場合、利用者に送られてくるご利用者カードみたいなものに、乱数が記載されていて、振込の際にその乱数の「3番目記載の番号」、「5番目記載の番号」、「1番目に記載番号」てな感じで入力して認証するわけですよ。
つまり、基本的に二要素目は固定なんですね。
三井住友銀行もワンタイムパスワードトークンを利用できるんですが、別途申し込みが必要な上に有料だそうですよ。コレだとメンドイし使わない人も出てくるだろうなぁと・・・
で、不思議だと思ってたのは、中の人がネットバンキングを利用するのはジャパンネット銀行(以下JNB)なんですが、JNBの場合、すべての口座で無料でワンタイムパスワードトークンが与えられているので、二要素目の認証がかなり強力です。
このJNBを日常的に使ってるので、他行の2要素認証も当然同等だろうと思ってたので、今回の記事が不思議だったんですねぇ。まぁJNBの肩持つわけじゃないんですがwww
「そんなに簡単に振り込めないだろぉ?ワンタイムパスワードトークンの認証があるんだし・・・どうやってワンタイムパスワードを突破するんだ?物理的に盗みのか?」
と思ってたわけですよ。当然のように・・・ 記事にある・・・
また、フィッシングによる手口としては、ネットバンキング利用者に金融機関を装ってメールを送付。セキュリティ向上のためと偽り、あらかじめ開設しておいた偽サイトに誘導し、ID・パスワード、第2パスワード用の乱数表を入力させる。犯人は、これらを使ってネットバンキングに不正アクセスしている。
ってところが解せなかったのは、ワンタイムパスワードの場合、「乱数表」は無いんですよ。ところが今回調べてみた銀行では基本「乱数表」を使ってるんですね。
これだと、フィッシングにやられたら、モロバレかもしれませんねぇ。こんなにセキュリティが重要であるはずの銀行なのに、二要素認証してるとは言え、チョット脆い感じですねぇ。最低限ワンタイムパスワードトークンやGoogleが導入してるケータイでの二要素認証なんかを導入すべきだと思いますよ。
ネットバンキングをご利用中の方は、ご利用カードの「乱数表」の管理はくれぐれもご注意くださいね!