記事

三井住友銀ネットバンクにはないものねだりをしているわけではありません

先日書いたネット銀行のセキュリティに関してまとめてみました。(OTPはトークン(パスワードカード)で生成されるワンタイムパスワードを意味します)。他の銀行は知りませんのでご存じの方、この表に追加してみてください。

    JNB SMBC(旧) SMBC(新)
ログイン時 ID 口座番号+ログインID 口座番号
または
契約者番号
口座番号
または
契約者番号
  PWD 英数字最大8文字 英数字最大8文字+OTP 数字4桁
(数字4桁+OTPに設定可)
振込時 登録済口座 OTP
(特定の登録口座のみOTP不要に設定可)
デフォルトではノーチェック
(暗証カードが必要なように設定可)
デフォルトではノーチェック
(OTPが必要なように設定可)
  それ以外 OTP 暗証カード OTP

 

JNB(ジャパンネット銀行)では、口座へのログインは英数字8文字のパスワードで一応守られており、外出や出張中に残高確認等のためだけにトークンを持ち歩く必要がない(トークンは銀行印のようなものなので普段は金庫にしまっておきたいです)一方で、出金はトークンのOTPで守られており暗証カード不要です。自分的には利便性と安全性のバランスが取れていると思います。

SMBC(三井住友銀行)の旧システムでは、ログイン時にワンタイムパスワードが必要だったので事務所以外から残高確認を行なう場合にはトークンを持ち歩く必要がありました。トークンがあっても旧来の暗証カードは依然として必要でした。また、デフォルト設定では登録済みの口座にはノーチェックで振り込めてしまうのでちょっと怖いです(暗証カード必要なように設定可能ですが)。

SMBC新システムでは一見改良されているようですが、パスワードが数字4桁になってしまったので、ログイン時もOTPが必要な設定にせざるを得ません。結局、旧システムと比べて良くなったのは暗証カードがいらなくなったということくらいです。

SMBCの新システムを使う人は、1)ログイン時は暗証(数字4桁)とOTPが両方必要なように設定、2)登録済口座への振込みはOIPが必要なように設定、3)数字4桁のパスワードはキャッシュカードの暗証番号と同じにしない、という3点に気をつけておいた方がよいと思います。

なお、SMBCは、ネットバンクのログインIDとして口座番号がそのまま使用可能になっています。口座番号は取引先等には知られていますので、悪意を持った人が、その口座番号で適当なパスワードを何回か試行することでログインをブロックさせてしまうというDoSいやがらせが可能になってしまいます。

JNBは、この問題をさけるために、どこかのタイミングでユーザーが自分で設定可能なログインIDが必要なよう改良しました(ログインIDは何回間違えても失効しないためログインIDを秘密にしておけばDoSいやがらせが防げます)。

一方、SMBCは、昔は、契約者番号という暗証カードに書いてある番号(他人に秘密にすべき番号)をログインIDとして使っていたのですが、これもどこかのタイミングで口座番号だけでもログインできるように設計変更されてしまいました。

SMBCには別にないものねだりとかわがままを言っているわけではなく、最初からJNBのような設計にすればいいものを、なぜ、わざわざ脆弱性を取り込むような設計変更を行なってきたのかという点が不可解でということです。

関連記事:

あわせて読みたい

「三井住友銀行」の記事一覧へ

トピックス

ランキング

  1. 1

    竹中氏もMMT認めざるを得ないか

    自由人

  2. 2

    株バブル過熱で短期調整の可能性

    藤沢数希

  3. 3

    韓国はなぜ延々謝罪を要求するか

    紙屋高雪

  4. 4

    なぜベーシックインカムに反対か

    ヒロ

  5. 5

    斎藤佑樹からの連絡「戦力外?」

    NEWSポストセブン

  6. 6

    コロナは若者に蔓延? 医師が仮説

    中村ゆきつぐ

  7. 7

    上司無視…モンスター部下の実態

    PRESIDENT Online

  8. 8

    共産党の式欠席に「ありえない」

    音喜多 駿(参議院議員 / 東京都選挙区)

  9. 9

    渋野騒動 日テレのスポーツ軽視

    WEDGE Infinity

  10. 10

    コロナ死者数に含まれる別の死因

    青山まさゆき

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。