記事

三井住友銀ネットバンクにはないものねだりをしているわけではありません

先日書いたネット銀行のセキュリティに関してまとめてみました。(OTPはトークン(パスワードカード)で生成されるワンタイムパスワードを意味します)。他の銀行は知りませんのでご存じの方、この表に追加してみてください。

    JNB SMBC(旧) SMBC(新)
ログイン時 ID 口座番号+ログインID 口座番号
または
契約者番号
口座番号
または
契約者番号
  PWD 英数字最大8文字 英数字最大8文字+OTP 数字4桁
(数字4桁+OTPに設定可)
振込時 登録済口座 OTP
(特定の登録口座のみOTP不要に設定可)
デフォルトではノーチェック
(暗証カードが必要なように設定可)
デフォルトではノーチェック
(OTPが必要なように設定可)
  それ以外 OTP 暗証カード OTP

 

JNB(ジャパンネット銀行)では、口座へのログインは英数字8文字のパスワードで一応守られており、外出や出張中に残高確認等のためだけにトークンを持ち歩く必要がない(トークンは銀行印のようなものなので普段は金庫にしまっておきたいです)一方で、出金はトークンのOTPで守られており暗証カード不要です。自分的には利便性と安全性のバランスが取れていると思います。

SMBC(三井住友銀行)の旧システムでは、ログイン時にワンタイムパスワードが必要だったので事務所以外から残高確認を行なう場合にはトークンを持ち歩く必要がありました。トークンがあっても旧来の暗証カードは依然として必要でした。また、デフォルト設定では登録済みの口座にはノーチェックで振り込めてしまうのでちょっと怖いです(暗証カード必要なように設定可能ですが)。

SMBC新システムでは一見改良されているようですが、パスワードが数字4桁になってしまったので、ログイン時もOTPが必要な設定にせざるを得ません。結局、旧システムと比べて良くなったのは暗証カードがいらなくなったということくらいです。

SMBCの新システムを使う人は、1)ログイン時は暗証(数字4桁)とOTPが両方必要なように設定、2)登録済口座への振込みはOIPが必要なように設定、3)数字4桁のパスワードはキャッシュカードの暗証番号と同じにしない、という3点に気をつけておいた方がよいと思います。

なお、SMBCは、ネットバンクのログインIDとして口座番号がそのまま使用可能になっています。口座番号は取引先等には知られていますので、悪意を持った人が、その口座番号で適当なパスワードを何回か試行することでログインをブロックさせてしまうというDoSいやがらせが可能になってしまいます。

JNBは、この問題をさけるために、どこかのタイミングでユーザーが自分で設定可能なログインIDが必要なよう改良しました(ログインIDは何回間違えても失効しないためログインIDを秘密にしておけばDoSいやがらせが防げます)。

一方、SMBCは、昔は、契約者番号という暗証カードに書いてある番号(他人に秘密にすべき番号)をログインIDとして使っていたのですが、これもどこかのタイミングで口座番号だけでもログインできるように設計変更されてしまいました。

SMBCには別にないものねだりとかわがままを言っているわけではなく、最初からJNBのような設計にすればいいものを、なぜ、わざわざ脆弱性を取り込むような設計変更を行なってきたのかという点が不可解でということです。

関連記事:

あわせて読みたい

「三井住友銀行」の記事一覧へ

トピックス

ランキング

  1. 1

    仏再封鎖 医師「PCR数凄いのに」

    中村ゆきつぐ

  2. 2

    ペイパルの衝撃 仮想通貨新時代

    ヒロ

  3. 3

    民家に犬164頭「最悪のケース」

    清水駿貴

  4. 4

    安倍待望論も? 菅首相は裏方向き

    早川忠孝

  5. 5

    女子陸上盗撮 複数人が被害相談

    NEWSポストセブン

  6. 6

    伊藤と交際報道の山本舞香は号泣

    女性自身

  7. 7

    鬼滅効果でも厳しい消費氷河期に

    新潮社フォーサイト

  8. 8

    陰性の「安心感」に尾身氏がクギ

    BLOGOS しらべる部

  9. 9

    橋下徹氏 都構想で命を狙われた

    PRESIDENT Online

  10. 10

    伊藤健太郎の不心得を諭した女性

    文春オンライン

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。