パスワードを忘れた? アカウント作成
9980457 story
セキュリティ

三井住友銀行がネットバンキングでワンタイムパスワードを導入へ 66

ストーリー by hylom
ネットゲーマーにはおなじみのアレ 部門より

三井住友銀行が、ネットバンキングにおいてワンタイムパスワードの導入を行うとのこと(MSN産経ニュース)。ワンタイムパスワードはオンラインゲームのログイン認証などでは広く普及しているが、国内の銀行で本格的に導入されるのは初めてという。

新規契約者だけでなく、既存の契約者も対象。パスワードを生成するデバイスはカード型電卓のような形状をしており、60秒ごとに使い捨てのパスワードを生成するもの。顧客に対し無料で配布されるという。近年ネットバンキングを狙った攻撃が増えていることからの導入のようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年09月11日 7時09分 (#2457985)

    SMBCは、既にワンタイムパスワードの導入をしています。
    http://www.smbc.co.jp/kojin/otp/ [smbc.co.jp] (んで。この時、この仕事に関わっていました)
    モジュール提供がどーこーとか。上の方でトラブルあったなー。懐かしいなぁ。

    なもんで「三井住友銀行がネットバンキングでワンタイムパスワードを導入へ」とタイトルが見えた時は、ちょっと話が理解できなかったのですが。
    元記事は「三井住友銀行が『パスワードカード』を導入」ですね。
    今までの選択(第一暗証に、OTP追加)ではなく置換え。 つまり強制となって、オンラインバンキングでの第一暗証の廃止となるわけです。
    ここまで話を説明して、やっと「国内の銀行で本格的に導入されるのは初めて」と言えます。

    ところで疑問が2点湧いてきました。まだトークン利用者の扱いを、どうするのか発表されていないこと。そして、RSA社からVASCO社に切り替えた理由は、何か。です。
    まあ前者については、2種類の番号打ち込んでいる最中に、次の番号になってしまった時の救済処置とかいろいろやりようはあるんですが…・…。
    ふつー利用者立場からすれば。そんな2種類の端末用意して、乱数打ち込むの……あまり納得しませんよね。

    • by Anonymous Coward on 2013年09月11日 9時39分 (#2458064)

      >RSA社からVASCO社に切り替えた理由は、
      値段と海外金融機関での実績も十分あるからじゃね?
      昔リモートアクセスシステムの認証にワンタイムパスワード検討した時、
      圧倒的にVASCOが安かったよ。

      つーか
      >国内の銀行で本格的に導入されるのは初めてという。
      ジャパンネット銀行ってはじめからRSAのワンタイムパスワード使ってるよ。

      親コメント
      • by Anonymous Coward on 2013年09月11日 12時11分 (#2458176)

        > ジャパンネット銀行ってはじめからRSAのワンタイムパスワード使ってるよ。
        ですね。
        SONYBANKも希望者のみですが使ってます。

        親コメント
      • by Anonymous Coward

        はじめからではないですよ。
        導入されたのは2006年で、それ以前はワンタイムパスワードなしで取引していました。

    • by Anonymous Coward on 2013年09月11日 10時58分 (#2458127)

      何年か前に、OTPトークンの要件として洗濯に耐えることが挙げられてた案件があったような覚えがあるけど、これのことだったのかな?

      親コメント
    • by Anonymous Coward on 2013年09月11日 23時53分 (#2458635)

      置き換えられるのは「乱数表方式の暗証カード」(第二認証)なので、第一認証でなく第二認証が置き換えられるはずです。
      既存のワンタイムパスワードはインターネットバンキングでの第一認証で併用するものなので、以下のどちらかのパターンになると思われます。
      ・第二認証がワンタイムパスワードになり、オプションで第一認証にもワンタイムパスワードを使えるようになる。
      ・第二認証がワンタイムパスワードになり、第一認証のワンタイムパスワードは廃止される。

      親コメント
    • 得意気にいろいろ書いちゃってるけどあんた守秘義務とか無いの大丈夫なの?
      • by Anonymous Coward on 2013年09月11日 12時18分 (#2458178)

        守秘義務だからということで
        貝のようになにも語ってくれないよりは
        余程有り難いです。

        少なくともあんた呼ばわりするコメントよりは
        有益かと存じます

        親コメント
        • by Anonymous Coward on 2013年09月11日 12時54分 (#2458217)

          同感です。
          どこまでがOKかは難しいラインですけど、
          この話のどこに問題が在るかがさっぱりわからん。

          最初の情報が公開されていることだったので、
          ムキになって反論しているようにしか見えない。

          親コメント
      • by Anonymous Coward

        守「秘」義務……上の方でトラブルがあったこととかは、自分は知らなかったから秘密かな?
        あと、「RSA社からVASCO社に切り替えた」辺りとかは公開されてるんだろうか。

      • by Anonymous Coward

        現在でもサービスとしてOTPを提供しているのは言うまでもなく公知の事実ですし、
        トラブル云々もまったく具体性がないので、問題ないのでは?
        ジェネレータのベンダーだけはちょっとくさい情報、という気もしますが

      • by Anonymous Coward

        真っ当な社会人だったら業務上知り得た情報をやたらと口外しないもんだろjk

        • by Anonymous Coward on 2013年09月11日 16時14分 (#2458374)

          「業務上でしか知り得ない情報」の方が正確かな。

          むしろ、そこらの線引きが曖昧な情報を吐き出すことを可能にさせようとするのが、元々のACというシステムの主旨だと思う。
          それがなければ、スラドにACなんて無くしてしまった方がいいと思うよ。

          親コメント
        • by Anonymous Coward

          Anonymous Cowardがまっとうな社会人のはずないだろ!いい加減にしろ!

          • by ymasa (31598) on 2013年09月11日 10時23分 (#2458098) 日記

            > Anonymous Cowardがまっとうな社会人のはずないだろ!いい加減にしろ!

            そうではなくて
            この仕事に関わった人が業務上知り得た情報を口外してはいけないと注意されているんだよ。

            親コメント
            • by Anonymous Coward
              「この仕事に関わった人が(略)と注意されているんだよ。」
              と口外するのはOKなのか?
      • by Anonymous Coward

        > この時、この仕事に関わっていました

        これはアウトです。

      • by Anonymous Coward

        こういうのって中の人といいつつ直接関わってた本人じゃなくてその近辺にいた人物だったりするけどなぁ。

    • by Anonymous Coward

      お前が中の人というのは公開されていないわけだが。

      • by Anonymous Coward

        その「お前」が誰かわからんのに。

        俺前職で、大統領のシークレットサービスやってたんだぜ。。。
        ぐらいの内容でしょ。

        ACにいちいち噛み付くな。

  • by Anonymous Coward on 2013年09月11日 7時45分 (#2457998)

    jbeef先生曰く、これはただのワンタイムパスワードじゃないそうですよ。
    https://twitter.com/HiromitsuTakagi/status/377069802289782784 [twitter.com]

    おお、ついに日本でもMan-in-the-Browser対応カード導入ですかー。三井住友銀行さすがすなあ。(Man-in-the-Browser対応のWebアプリ改修はまだ先のようですが。)

    • by Anonymous Coward on 2013年09月11日 10時51分 (#2458122)

      詳細が出てこないので断言はできないけれど、
      ニュースリリースにある「中間者攻撃と呼ばれる高度な不正取引も防止可能です」という点が、
      恐らくは(正確には中間者攻撃ではなくて)MITB対策を指しているってことだろうね。

      ワンタイムパスワードではそのトランザクションをPCで改ざんするMITBは防げない、という点が近年問題になっていたけれど、
      (OTPと振込先のセット情報を、ブラウザで振込先だけ情報を改ざんして渡す、なんてやられると防御できない)
      それへの対応を視野に入れたデバイスの普及を進めたという点での評価かと。

      親コメント
    • by Anonymous Coward

      時刻同期のOTPだけじゃなくチャレンジ=レスポンスに対応可能なので
      トランザクションの改ざんを防ぐことが出来るということかな?

    • by Anonymous Coward

      何で従来のOTPと違ってMITBを防げるのか詳しい人教えて貰えんでしょうか。

      • by Anonymous Coward on 2013年09月11日 11時24分 (#2458152)

        具体的な実装方法は分からないので、単純に「パスワードカードでMITBを防ぐ一例」という話。

        このパスワードカードだと情報を暗号化させることが可能なので、
        例えば振込情報を入力するときに「どの口座に」「おいくら万円」といった、
        安全に扱いたい情報をパスワードカードに入力して暗号化させる。
        そしてその暗号化した情報を入力する、という方法にすると、PCでは情報を改ざんできなくなる。

        親コメント
      • by Anonymous Coward

        殆どのOTPドングルはボタンを押すとそのときの時刻に合わせた番号が生成表示される(あるいは常時表示されている)だけだけど、
        SMBCのこれはテンキーが付いている故に、チャレンジレスポンス方式をとれるから、ではないのかな
        (インターネットバンキングシステム側で乱数番号を表示させ、それを人間にテンキーを叩かせて、
        表示された番号コードをインターネットバンキング側に入力させる)

        • by Anonymous Coward

          #2458122で書かれているような、例えば、
          「オンラインバンキングのページで入力された振込先を不二子ちゃんの銀行口座に勝手に書き換えるアドオン」が
          ブラウザに潜んでいた場合、その方法で防止できる?

          • by Anonymous Coward on 2013年09月11日 12時40分 (#2458200)

            乱数だともちろんダメでしょうけど、極端な例で言えば
            「振込先口座の銀行コード+支店番号+口座番号」をテンキーで入力させればよい。
            セキュリティをもう少し緩めて利便性を高めるなら口座番号の入力のみとかでも
            任意の口座への振り込みはかなり防げるはず。

            親コメント
    • by Anonymous Coward

      5,000円くらいならいいですか?

    • by Anonymous Coward

      > Man-in-the-Browser

      ブラウザの中の人か

    • by Anonymous Coward

      あれ?職場変わったからblogやめたと思っていたのに
      twitterは続けていたのか?>jbeef先生

      どういう基準だ

  • by Anonymous Coward on 2013年09月11日 9時41分 (#2458065)

    ジャパンネットバンク銀行は国内の銀行じゃないのかな・・・。
    すごく前からRSAのワンタイムパスワードトークン使ってますが。これ使わないと何も出来ない。
    キーホルダー型なのでSMBCのカード電卓みたいなのより持ち運びしやすいし・・・。

    ネット専業銀行は除く、って話なんだと思うけど米印ついてないよw

    • by Anonymous Coward on 2013年09月11日 10時44分 (#2458119)
      MSN産経の記事を読んでみる。

      国内初という表現は『本格的に使い捨てパスワードを導入するのは国内の銀行では初めて。』の部分。

      で、気になるその”本格的に使い捨てパスワードを導入するのは”の意味はどうなのか?と思ってさらに読むと『従来の乱数表方式の暗証カードを廃止し、パスワードカードに切り替える。新規契約者のほか、既存契約者も順次こちらに変更してもらう。同カードは無料で配布する。』とある。

      たぶん、”現行方式を廃止+既存契約者にも変更させる”あたりの”本格的”っぷりが、国内初だと言いたいんじゃないかと。

      逆に後発っぷりが強調されてる感じがなんとも・・・・
      親コメント
      • ジャパンネット銀行は、確か10年以上前からワンタイムパスワードを導入していたと思うが、三井住友はあの乱数表をやはり10年以上前から続けていると思う。

        あの小さな乱数表、4桁の暗証番号に比べればマシだけれども、正直、大差ない。あれを今まで続けていたことの方が、金融機関として恥ずかしいのではないか。(他の大手都市銀と大差ないからOKといったレベルの判断か?)

        それに、ジャパンネット銀行は三井住友の出資比率が59.70%の子会社。何でノウハウの共有ができないのか、それも気になる。

        親コメント
        • by Anonymous Coward

          三井住友は2006年からオプションではありますがワンタイムパスワード導入してますよ?

  • データセンター接続用にワンタイムキーデバイスを持っていますが、正直めんどくさいです。

    ワンタイムキーデバイスのコストも気になるところです。
    金利また下がるのでしょうか・・・orz

    セキュリティ的に、採用した方式の方が安全だろうというのは理解できますが・・・

    Googleの2段階認証の様に、ATMや、ネットバンキングを操作した際に、
    携帯にSMSでワンタイムキーが送信されてくる方式にして持ち歩くデバイスを最小限にして欲しいです。

    #携帯ガジェット好きの3キャリアスマホ+タブレット持ちユーザより。
    #さすがにこれ以上はポケットが溢れる、
    • Re:めんどくさいなぁ (スコア:5, すばらしい洞察)

      by ymasa (31598) on 2013年09月11日 10時25分 (#2458102) 日記

      > ワンタイムキーデバイスのコストも気になるところです。

      銀行がセキュリティにコストをかけるのは当然であってほしいなあ。

      親コメント
    • by Anonymous Coward

      個人的には、
      従来の暗証カードの代わりなのでこれを持ち歩くケースはほぼないし、
      暗証カードのセキュリティにはうっすらと不安を感じていたので歓迎だなあ。

      # SMBCはいつの間にかワンタイムパスワードも無料になっていたのか

      • by Anonymous Coward

        >携帯にSMSでワンタイムキーが送信されてくる方式にして持ち歩くデバイスを最小限にして欲しいです。

        本気ですか?ギリギリの時刻や、メール遅延やキャリア側の障害はどうするのですか?
        みずほ銀行がこの方法を導入予定です。上記の件を問い合わせていますが、いまだに回答はありません。

        • by Anonymous Coward on 2013年09月11日 9時19分 (#2458048)

          オンラインバンキングってそういうもんじゃないの?
          メリットデメリットは仕方無いと思うけど。

          親コメント
          • by Anonymous Coward

            人それぞれめんどくさいポイントが違うってことだね。

            今回のSMBCの案とreichi氏の案を比較すると、
            管理デバイスが増えることをめんどくさいと思うか、携帯電話に依存することをめんどくさいと思うかの差。
            俺は後者の方がめんどくさいが、違う人もそりゃいるだろう。

            色々な手法から利用者にとって最も安全なものを選べるのがベストなのかと思うけど、
            今回は暗証カードに対する攻撃へ早急に対応する必要があったので、
            第一歩として利用者の環境になるべく依存しない方法を取ったSMBCのこの対応は正解だと思う。

        • by Anonymous Coward

          利用者のことをまるで考えてないやつってこういうことばかり言うよな
          代替策とか自分なりの提案があるならそういう意見も歓迎だけど、ダメ出しだけして仕事してる気になってないか?

  • by Anonymous Coward on 2013年09月11日 6時08分 (#2457976)

    入力部分のあるOTP生成デバイスは初めて見たのですが、
    このタイプを使っている人がいたらどう使うのかお教えいただけませんか。
    「1」のボタンの色が違う点も含めて気になります。

    • by Anonymous Coward

      公式のニュースリリースによれば。
      紛失に備えた「カード起動パスワード」の入力部のようですね。
      しかし確かに、「1」だけ色が違うのがよくわかりませんねぇ。

      http://www.smbc.co.jp/news/j600777_02.html [smbc.co.jp]

      • by Anonymous Coward

        目が悪い人向けとかかなぁ。

        テンキーって左下が1の場合と左上が1の場合があるから、
        手に持った状態で数字を目視できない人には大変かも知れない。

        ああでも、結局液晶部の文字を読めないと意味がないか……。

      • by Anonymous Coward

        パスワードのためのパスワードか。
        めんどくせぇw
        忘れて使えなくなるやつ、続出の予感。

  • by Anonymous Coward on 2013年09月11日 9時26分 (#2458053)

    三井住友銀行のインターネットバンキングで新たな不正画面の表示を確認、不正送金被害も
    http://security.srad.jp/story/13/08/16/2138222/ [srad.jp]

    インターネットバンキングで正規サイトにログオン後、不正なポップアップ画面
    http://security.srad.jp/story/12/10/28/040225/ [srad.jp]

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...