ITニュース速報

IT関連のニュースをお届けします
IT、ICT,タブレット、コンピュータ、パソコン
PC、セキュリティ、iPhone、iPad、mac
などの情報を日記にのせていきます

    カテゴリ:IT > ネット銀行


    【元記事をASCII.jpで読む】

     このところニュースで目にする「ドコモ口座」を使った不正な預金引き出し問題。被害件数143件、総額2676万円(執筆時、9月17日時点)もの規模になっています。その詳しい手口などは、ここでは深く論じませんが、今回は少し別の視点から特徴や脆弱性を考察してみようと思います。

    「脆弱性」がどこにあったかがわかりにくかった

     今回の被害について、多くのニュースサイトなどの評論では「本人確認が甘かった」「2要素認証が必要だった」「リバースブルートフォースアタックが使われた」(特定のパスワードと、ユーザーIDに使用される文字列の組み合わせを用いて、総当り的にログインを試みる手法)などがよく話題になります。たしかにその通りなのかもしれません。

     しかし、少し別の視点から考えてみましょう。例えば、家の中に金庫があり、泥棒がその中身を盗んでしまうケースを考えてみます。

     泥棒が盗みに入った場合、何らかの手段で組み合わせ番号を知っていたり、金庫の合鍵を準備していたり、ドリルで強引にこじ開けたり、という手口が考えられます。家庭用の金庫なら、金庫そのものを持ち出してしまう場合もあるでしょう。

     しかし、いずれにしても、番号を知られた、物理的に壊されたなど、どのような手段で被害にあったのか、つまり、どのような「脆弱性」を突かれたかに関しては、わかりやすいはずです。「泥棒に盗まれたのでは?」とすぐに理解しやすいケースです。

     ところが、盗まれたというはっきりした形跡もなく、気がついたら金庫の中のお金が減っていた、というような状況だったらどうでしょう。あきらかな証拠がないので、警察などに相談しても「勘違いでは」と思われてしまったとしたら。

    預金引き出しのセキュリティー

     通常の預金引き出しのセキュリティーは、「通帳」+「印鑑」+「銀行の窓口で対面する」、キャッシュカードの場合、「キャッシュカード」+「暗証番号」+「番号を何回か間違えるとカードが無効になる」などという組み合わせでした。近年では手指の静脈パターンを利用した「生体認証」も活用されています。

     そうした理由から、今までの詐欺のケースでは、被害者を言葉たくみに誘導して「キャッシュカードを詐取する」「暗証番号を被害者から聞き出す」「本人にATMを操作させる」などの手口が生まれました。こうした方法は「ソーシャル・ハッキング」などと呼ばれ、警察や銀行なども被害からの申し入れに対処がしやすい状況でした。

    今回の事件の「脆弱性」は……?

     今回の事件の特徴は、公開情報であるはずの「口座番号」「氏名」をセキュリティの要素に含ませたこと(ドコモ口座に銀行口座を登録することを「本人確認」としていた。残りの1要素は暗証番号)です。

     昨年の10月に最初の被害が起きていたものの、詐取の証拠や記憶が被害者側に残らないため、銀行や警察などに被害が申し入れられにくい状況だったことも特徴です。

     つまり、銀行としては「ドコモから個人情報が漏れた」、ドコモ側は「銀行から個人情報が漏れた」、そして警察は「被害者がフィッシング詐欺などで個人情報を漏らした」と、それぞれが誤解しやすい状況だったと推測できます。

     重ねて、被害者が被害を自覚しづらい(オンライン決済やオンライン決済を利用していなくても被害にあい、通帳の記載で初めて気が付く)ことも特筆できる点です。

     まとめると

    ●フィッシングサイトなどの詐欺の証拠が外部に残らない。
    ●被害者が被害を自覚しづらい(覚えがない)。
    ●銀行口座所有者と犯人との接触がない。
    ●過失の所在がわかりにくい。

     以上のことを、犯人(または犯行グループ)に知られたことが、今回の事件における「脆弱性」であり、被害拡大につながった点だと筆者は分析しています。

     ちょっと悪く聞こえるかもしれませんが、マジックも同じです。

     ほとんどの観客は「マジックにはタネがある」と知っています。しかし、「いつ、どこで、秘密の動きをしているのかがわからない」ので、マジックのタネそのものがわからず、気づいたときにはありえないことが起きているので、不思議に見えるわけです。

    本来、利便性とセキュリティーは相反するもの

     電子マネー決済サービスのセールスポイントとして挙げられやすい「簡単に申し込める」「手軽に使える」は、セキュリティーについて考えれば、本来相反するものです。利用者にとっても犯罪者にとっても申し込みが面倒だから、セキュリティーは強固になる。それが原則です。

     初めてクレジットカードを作るときや携帯電話を申し込むときなどを思い出してみれば、やっぱり面倒くさく、手間と時間がかかります。しかし、一度申し込んでしまえば、使うのは手軽です。

     逆に言えば、簡単に申し込めるものでは、本人確認にならない(セキュリティー的に強固なものだとみなされない)場合があります。それこそ、カードを作るときや、携帯電話の申し込みに必要な運転免許証やマイナンバーカードの取得は単純ではありません。

     これから活用が期待されている、オンラインで本人確認する「電子化本人確認:eKYC」も、身分証のICチップを読み取ったうえで本人を撮影する方法、銀行やクレジットカードの情報と照会する方法などもありますが、専用ソフトウェアを使って身分証および本人を撮影する、比較的簡易なものもあります。

     そのため、虚偽の申請などもありえますし、そもそも顔写真入りの証明書が必要になる場合が多いですから、必ずしも手軽かつ万能な方法ではない点には、留意するべきでしょう。

    課題はバランスの取れたシステムの構築

     もちろん、申し込みをできる限り簡素化するのは、普及を拡大したい新サービスでは必須です。しかし、極端に言えば「簡単に申し込めて手軽に使える」は、犯罪者にとっても「手軽に悪用できる」面があります。

     申し込みのハードルを下げつつ、セキュリティーはしっかり確保する。そのバランスが新システムを構築する企業の知恵のしぼりどころでもあります。

     今回の事件、一番悪いのは預金を詐取した犯人です。そして、電子マネー決済サービス企業や銀行にとっても、手軽さと安全をバランスよく両立するシステムを再発明するキッカケになる出来事なのかもしれません。

    人を欺くプロのマジシャンが考える、「ドコモ口座」問題の脆弱性とは?


    (出典 news.nicovideo.jp)

    人を欺くプロのマジシャンが考える、「ドコモ口座」問題の脆弱性とは?


    これ気をつけておきたいですね!



    <このニュースへのネットの反応>

    【人を欺くプロのマジシャンが考える、「ドコモ口座」問題の脆弱性とは?】の続きを読む


     SBI証券から、悪意のある第三者による不正アクセスによって第三者が偽造した本人名義の銀行口座へ出金される資産流出被害が発生した事件を受け、主要オンライン証券会社は、利用者に向け、セキュリティ関連の設定見直しや、ほかのサイト・サービスで使っているパスワードの使い回しをやめるよう呼びかけている。

    画像付きの記事はこちら




    ●出金先口座の登録・変更手続きを一時停止 当面の間、書面手続きに



     証券口座の開設には、運転免許証などの本人確認書類2点以上とマイナンバー確認書類が必要。証券口座への入金は無料で、入金すると預かり残高(買付余力)となる。

     証券口座からは本人名義の銀行口座にしか出金できず、ログインパスワードとは別の「取引パスワード(auカブコム証券は出金専用パスワード)」が必要。取引パスワードさえ漏えいしなければ、保有資産は不正に引き出されない。この点で、銀行口座より証券口座の方がセキュリティは高いという見方もある。

     楽天証券は、ユーザーネーム(初期設定値または任意の文字列)とパスワードログインする。不正な取引や出金がないかどうかは、取引履歴、入出金履歴、登録情報の変更履歴で確認できる。SBI証券の資金流出被害を受け、9月17日からオンラインでの出金先口座の登録・変更手続きを一時停止、郵送手続きのみ受け付けている。

     マネックス証券もまた、不正アクセスによる被害は確認されなかったが、9月16日からオンラインでの出金先口座の登録・変更手続きを一時停止し、当面の間、郵送手続きのみとした。

     不正アクセスの被害のあったSBI証券は、不正アクセスに関する、フリーダイヤルの専用問い合わせ窓口を開設した。ログイン方法は2通りで、ユーザーネーム(初期設定値または任意の文字列)とパスワード、またはID連携したYahoo JAPAN IDとパスワード。取引履歴、プラン変更履歴、過去2年間の入出金の履歴は確認できるが、設定変更の履歴は確認できない。

     auカブコム証券(旧カブドットコム証券)は、口座番号とパスワードログインし、取引履歴や過去14カ月間の入出金履歴、郵送手続きの受入状況が確認可能。現在、オンラインでの出金先口座変更手続きを一時停止し、電話または書面での手続きのみ受け付けている。

     なお、三菱UFJ銀行・auじぶん銀行などの5行以外は1回100円の出金手数料が必要。保有するauじぶん銀行の口座から自動的に入出金するオートスイープ(auマネーコネクト優遇プログラム)を設定すると、auじぶん銀行の円普通預金の金利が通常の100倍(税引前:年0.1%)にアップするので、auじぶん銀行とのセット利用が推奨だ。

     オートスイープサービス「マネーブリッジ」を提供する楽天銀行と楽天証券も、同様のセット利用が使い勝手、金利、安全性においておすすめとなる。


    ●後発のLINE証券は2要素認証を導入済み



     ユーザーID・パスワードと、登録済みのSMSスマートフォンスマホアプリに届くワンタイムパスワード・認証コードといった異なる二つの要素の組み合わせは「2要素認証」と呼ばれる。LINE証券は当初、LINEアプリからしか利用できなかったが、2020年8月26日から、スマホやPCのブラウザでも利用可能になった。ただし、ブラウザ版でも、ログインにあたり、スマホLINEアプリ)による本人確認が求められ、今回取り上げたオンライン証券4社よりもセキュリティは強固だ。

     相次ぐ預金の不正引き出しや資産流出被害を知り、ユーザーIDとパスワードによる従来のログイン方法は、オンラインバンキングや金融取引といった高いセキュリティが求められるサービスに不向きとなりつつあると感じた。面倒でも、PC+スマホタブレット端末スマホスマホ+別のスマホなど、ログインしようとするデバイスとは異なるデバイスで認証する2要素認証が大切な資産や情報を守る手段となりそうだ。(BCN・嵯峨野 芙美)
    投資初心者を中心としたスマホ証券としたLINE証券。8月からPCのブラウザでも利用可能になった。ログイン時にLINEアプリで認証が求められる


    (出典 news.nicovideo.jp)

    ログインする際はスマホで認証、「二要素認証」がスタンダードになる予感


    これ当たり前になりつつありますよね!!




    <このニュースへのネットの反応>

    【ログインする際はスマホで認証、「二要素認証」がスタンダードになる予感】の続きを読む


    三菱UFJ銀行が口座維持手数料の徴収を検討している。低金利で預金に利息が付かないうえに手数料を徴収されれば、お金を減らすことになってしまう。銀行との付き合い方を考え直したほうがよさそうだ。

    ■年1200円の口座維持手数料

    2020年は銀行との付き合い方を見直す年になりそう。理由の一つは、口座維持手数料を徴収する動きがあるからだ。ファイナンシャルプランナーの藤川太さんがこう指摘する。

    「口座に一定以上の預金がないと、口座維持手数料が必要になるのは海外では当たり前。日本で導入されても不思議はありません」

    19年12月三菱UFJ銀行が口座維持手数料の徴収を検討していることが報じられた。入金や出金などの取引が2年間なかった口座を対象に、年1200円を徴収する案が出ているという。すでに導入を済ませた金融機関もある。十六銀行は18年4月1日以降に開設した普通預金口座で、2年以上の入金や出金がなかった場合に年1200円を徴収する。

    以前から保有していた口座は対象外なので慌てる必要はないが、将来はすべての口座が対象になることも考えられる。この機会に付き合う銀行を見直しておいたほうがいいだろう。

    では、どんな銀行と付き合うのがベストなのか。

    ■自社ATMを持たないネット銀行がおすすめ

    「利用方法にもよりますが、コンビニATMでよく引き出しをするなら、手数料が無料になる銀行を選んだほうがいいでしょう」

    メガバンクは一定の取引があると、コンビニATMの利用手数料や時間外手数料が無料になるメンバーズ制度がある。しかし、最近はその条件を厳しくする傾向にあるようだ。メガバンクの場合、都市部の駅前には店舗があるし、独自のATMも一定台数を設置しているので、それを利用してもらおうという方針だ。

    そう考えると、自社のATMを持たないネット銀行のほうがコンビニATMの手数料を無料にしているケースが多い。

    ■ソニー銀行は月4回までコンビニATMが無料

    たとえば、ソニー銀行の場合、コンビニエンスストアに設置されているセブン銀行ローソン銀行、イーネットなどのATMなら月4回まで引き出しが無料になる。ゆうちょ銀行三菱UFJ銀行三井住友銀行ATMを利用しても同じ。夜間や土日祝日でも変わらないのでうれしい。

    ジャパンネット銀行ではセブン銀行ローソン銀行、イーネットなどのATMで月1回の出金が無料。2回目以降も3万円以上なら無料になる。(図表1)

    ネット銀行のなかでも藤川さんのお薦めは楽天銀行だ。まず、楽天銀行に給与振り込みを指定すると、月3回まで他行あて振込手数料が無料になる。毎月、家賃などの振り込みをしている人にとってはうれしい優遇だ。

    コンビニATMの利用手数料は一定条件を満たすと最大月7回まで無料になる。ハッピープログラムと呼ばれる会員制度で5つのステージに分かれている。最高ランクは「スーパーVIP」で残高300万円以上または取引30件以上が条件。ATMの利用手数料は月7回まで無料、他行あて振込手数料は月3回まで無料。2つめのランクは「VIP」で残高100万円以上または取引20件以上が条件になっている。ATM利用手数料は月5回まで他行あて振込手数料は月3回まで無料だ。楽天グループには楽天市場や楽天カードなどさまざまなサービスがある。利用を楽天グループに集中させれば、「VIP」や「スーパーVIP」を獲得するのも難しくないだろう。

    ■ネット銀行の定期でインフレに備える

    ネット銀行はメガバンクより預金金利が高いのもメリット。たとえば定期預金の1年物で比較すると、メガバンクは0.01%だがネット銀行では0.2%のケースもある(12月14日時点)。100万円を1年間預けた場合、前者は100円の利息だが後者は2000円と差は歴然としている。

    国内では物価がジワジワ上昇しており、将来インフレになる可能性もある。そのとき資産を現金で保有していると目減りしてしまうから、インフレを予想するならインフレに強い資産に乗り換えておくと安心だ。

    インフレに強い資産として代表的なのは株式や不動産だ。物価が上昇すると、商品の価格も上がりやすくなり企業の売上も増える。企業の利益も増えれば株価が上がる仕組みだ。不動産は現物資産の一種なので、物価が上昇すると価格が上昇する。

    しかし、投資経験のない人にとっては、株式投資も不動産購入もハードルが高い。その場合には、定期預金で備える方法もある。世の中にお金がたくさん出回ることでインフレは起こりやすくなる。インフレを抑えるには中央銀行は金利を引き上げてお金の量を少なくしようとする。そのときは預金金利も上昇する。それを上手に活用すれば、お金が目減りするのを抑えられるという。

    ■1年定期でフレキシブルに

    藤川さんのおすすめは、金利が比較的高いネット銀行で1年程度の定期預金を利用することだ。3年あるいは5年の定期預金を利用すれば、もう少し金利は高くなるが、現在のように低金利のときは、期間の短いものに預けて金利が上昇したら預け替えができるようにしておきたい。

    もう一つの方法は、変動金利の商品を利用して金利が上がったときの恩恵を自動的に受けられるようにしておくこと。代表的な金融商品は個人向け国債の「変動10」。期間が10年の国債で最低0.05%の金利が保証されている。また、将来金利が上昇すれば、適用される利率も上昇する仕組みになっている。1万円から購入できるし、発行後1年以上経過すれば中途換金しても元本割れはない。他に有利な預け先が見つかればいつでも乗り換えが可能というわけだ。

    金利が高くなったら、今度はできるだけ長期のものに預けて金利を固定するのがおすすめ。このように金利情勢に合わせた運用戦略が必要になる。

    ※写真はイメージです(写真=iStock.com/petekarici)


    (出典 news.nicovideo.jp)

    って、年1200円って高くないですか?
    昔は給与振り込みあるだけでATM手数料が無料だったのに・・・
    時代は変わりましたね!
    皆さんも口座のメリット確認した方がいいですね!!

    <このニュースへのネットの反応>

    【【ネット銀行】「口座維持手数料」時代のネット銀行の選び方】の続きを読む

    このページのトップヘ