顧客のセキュリティにもコスト掛けてね・・・

INTERNET Watchの記事に、 ネットバンクのワンタイムパスワード盗むウイルス、国内5行がターゲット てのがありました。

株式会社セキュアブレインが、国内で被害が発生したインターネットバンキングのワンタイムパスワードを盗むMITB(Man-In-The-Browser)攻撃ウイルスの解析結果を発表したそうです。メガバンクを含む国内5行への攻撃を確認したとしているが、具体的な名称は公表していないとのこと。

詳細は記事に譲りますが、ここで言われている ”ワンタイムパスワード” には、主に2つの方式があることをご存知でしょうか?

・ メール送付型ワンタイムパスワード

・ ハードウェアトークン型ワンタイムパスワード


メール送付型ワンタイムパスワードというのは、予め登録しておいたメアドに銀行から1回限り利用可能なパスワードが平文で送られてくる方式です。ユーザーはメール受信後にメール記載のパスワードを入れて認証します。

これに対してハードウェアトークン型ワンタイムパスワードというのは、パスワードが表示されるトークンと呼ばれる機械が銀行から送られてきて、それに表示される制限時間(1分程度)ごとに変わるパスワードを入力して認証します。トークンが分かりにくい場合は以下のジャパンネット銀行のトークンってなに?ワンタイムパスワードってなに?を御覧ください。

http://www.japannetbank.co.jp/token/onetime/index.html

この方式の違いで圧倒的に違うのは同じワンタイムパスワードでも、その持続時間が圧倒的に違うことです。トークン型のワンタイムパスワードは大体1分ごとに強制的にパスワードが変わるのに対して、メール送付型のものは基本的にユーザーがメールを受信して確認するまでの間は有効となります。もちろん、メール送付型にもある程度の時間制限はありますが、トークン型に比べると圧倒的にパスワードの持続時間は長い訳です。

で、今回の記事で言われているワンタイムパスワードというのは、言うまでもなくメール送付型ワンタイムパスワードなんですね。このメール送付型のワンタイムパスワードを導入してるメガバンクは 三菱東京UFJ銀行 と みずほ銀行 なんです。もう一つの 三井住友銀行 は既に平成25年10月20日から「パスワードカード」と呼ばれているトークンを導入してます。現在、切替の真っ最中というところですね。切替中と言えば、ゆうちょ銀行 も2014年6月23日からトークンを無料で配布するそうです。

ちなみに、みずほ銀行に関しては基本的にメール送付型のワンタイムパスワードなんですが、有料(2,160円)でトークン型も提供してます。有料ですけどね・・・

3大メガバンクでトークン型を導入してないのは、三菱東京UFJ銀行 だけなんです。

同じメガバンクでも、顧客のセキュリティに対してコストを掛けて無料でトークンを配布する 三井住友銀行 と、有料では有りますがトークンを用意してる みずほ銀行 と、まだトークンを導入していない 三菱東京UFJ銀行 では皆さんはどちらをお選びになりますか?

中の人が現在利用しているネット銀行のジャパンネット銀行は、8年も前の2006年5月からトークンを標準化してます。その当時は相当のコストが掛かったと思いますが、それ以降ネットバンキング犯罪による不正出金は発生していないそうです。

ワンタイムパスワードのご案内
http://www.japannetbank.co.jp/security/security/otp.html

顧客の資産を守るという意味でセキュリティは非常に重要だと思います。コストが掛かったとしても、顧客を守ってくれる銀行を選びたいものです。

皆様もネットバンキングをご利用の際は、パスワード入力に十分にご留意くださいね。