<前の日記(2003年07月19日) 次の日記(2003年07月22日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3231   昨日: 3315

2003年07月20日

最後の切り札を最初に使わせてどうする

つくば市在住の人なら多くが利用しているであろう大手地銀の常陽銀行。その常陽銀行からこんなメールが来た。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
常陽ダイレクトバンキング「アクセスジェイ」をご利用の皆さまへ
■「アクセスジェイご契約者カード」再発行受付サービス終了のお知らせ■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
...
本サービスは5月12日より、お客さまにより安心してご利用いただくため、
ネットアクセス(インターネットバンキング)ご利用時に従来のログイン
パスワードに加えて、「アクセスジェイご契約者カード」記載の番号を
入力していただく等のセキュリティ強化対応を行っております。

以前から常陽銀行は、三井住友銀行などの例と同様に、乱数表を記載したカード「アクセスジェイご契約者カード」を、ネットバンキング契約者に配布している。

これまで、この契約者カードがどのように使われてきたかというと、「テレホンアクセス」という、電話のプッシュ音で操作するシステムで、振込みなどの重要な操作をするときに、乱数表の番号を押させていた。このことは、archive.orgに残っている去年3月の時点のページで確認することができる。

〈2〉 テレホンアクセス(テレホンバンキング)

4桁の暗証番号に加え、都度指定の振替・振込の場合は「ご契約者カード」に記載のお客さまごとに異なる可変暗証番号により本人確認いたします。

2002年3月の時点の http://www.joyobank.co.jp/access-j/gaiyo.html

これは、電話のプッシュ音が、一部の電話機では容易に盗聴され得ることに配慮した対策であろう。

これが、今回、インターネットバンキングのログインのときにも使うようになった。このことは、常陽銀行のニュースリリースにも記載されている。

4.ネットアクセスログイン時のセキュリティ向上

インターネットバンキングをより安心してご利用いただくため、従来のログインパスワードに加えて、ご契約者全員に配布している「常陽ダイレクトバンキングご契約者カード」記載の「テレホンバンキング確認番号」10桁のうち毎回異なる2桁をネットアクセスログイン時に入力していただくようになりました。本方式は「ワンタイムパスワード方式」「乱数表方式」などと呼ばれ、安全性の高い認証方式です。

ニュースリリース: 常陽ダイレクトバンキング「アクセスジェイ」の機能拡充について

何のためにこの機能を取り入れたのかは、以下のページで説明されている。

2.契約者カードでのワンタイムパスワード認証

ログイン時に10桁の契約者カード番号のうち毎回異なる2桁を入力する方式(ワンタイムパスワード方式・乱数表方式)を採用させていただいております。これにより、お客さまご利用のパソコンにキーボード入力を記録するようなソフトを仕掛けられ、入力したパスワードが盗まれた場合でも、不正利用されにくい仕組みとなっております。 常陽ダイレクトバンキング アクセスジェイ 主なセキュリティ対策

つまり、この事件が起きたために打ち出された対策のようだ。

  • 不正にソフト仕掛け暗証番号入手、1600万円を詐取, 毎日新聞, 2003年3月6日

    容疑者は、パソコンに入力した記録を後に取り出せる「キーロガー」と呼ばれるソフトをあらかじめ都内のインターネット喫茶店などのパソコンに仕掛け、被害者らが利用した後に暗証番号などのデータを入手していた。719件の銀行口座や証券会社のネット取引の個人情報を取得していたといい、警視庁は余罪を追及するとともに、インターネット喫茶などのパソコンを使った金融取引について注意を呼びかけている。

常陽銀行のアクセスジェイのトップページには、

インターネットカフェなど不特定多数の方が使用するパソコンではご利用にならないよう、強くお勧めいたします。

と注意書きされているが、自宅パソコンにウイルスメールやトロイの木馬で仕掛けられる可能性にも配慮したのだろう。

しかし、ちょっと驚いたのは、三井住友銀行などの他の銀行では、乱数表を使うのは、ログイン時ではなく、振込みなどの重大な操作の最後のステップになっているのに対して、常陽銀行の今回の措置は、ログイン時にいきなり入力させるという点だ。

はたしてこれは、本当に安全性を高めているだろうか?

乱数表の安全性は、5月12日の日記にも書いたように、

こうした方式がとられている銀行をネットカフェで利用し、キーロガーによってタイプした文字を盗聴されたとしよう。しかし、犯人は、不正ログインできても、サーバが偶然に同じ2つの枠を指定してこない限り、送金を実行できないことになる。むろん、正規利用者がネットカフェで何度も繰り返し取引を実行すると、16か所の枠がビンゴカードのように次々と盗まれていくことになるので、安全性は徐々に低下していく。このあたりの確率計算の試みが文献*1にある。

ということがある。

常陽銀行は、ログイン時に乱数表を使わせることによって、ビンゴカードの穴を開ける機会を増やしてしまった。本来、乱数表カードは、最後の切り札として温存しておくべきものなのに、常時使わせている。

つまり、残高照会や、入出金明細照会や、ポイントクラブのポイントを確認するためだけにログインするときにも、切り札を使わざるを得ない。しかも、途中で戻るボタンを押してしまったりしてログインからやり直すことになると、それだけで何度も切り札を出さないといけない。

なぜこんなシステムにしたのだろうか。これは次の事件の手口に配慮したためかもしれない。

  • 不正アクセス新たに300万円被害、35歳を追送検 警視庁, 毎日新聞, 2003年5月1日

    容疑者は01年12月、ネットバンキングを専業とする都内の銀行が神奈川県内に設置したサーバーに、インターネット喫茶で盗み取った兵庫県の男性会社員(31)のパスワードを使って侵入。男性の住所を自分の私書箱に変更し、キャッシュカードを「紛失した」として再発行させ、私書箱に送らせた。昨年1月25日、このカードを使い、便利屋に依頼して口座から約300万円を引き出した疑い。

常陽銀行の今回の連絡メールには続きがあって、

これに伴い、「アクセスジェイご契約者カード(お申込み後ご契約者全員
に配達記録でご郵送しております)」を紛失されたお客さま向けに
「ご契約者カードの再発行を電話で受付するサービス」をご提供して
参りましたが、7月31日をもって再発行受付サービスを終了させて
いただきますのでご連絡申し上げます。
となっていた。再発行をインターネット経由で受け付けないことにしたというのは、上の事件の手口への配慮と考えられる。

常陽銀行のインターネットバンキングのサービスにログインすると、住所変更の機能がある。住所変更届を出すには、最後のステップで「取引用確認番号」の入力が必要になっているが、キーロガーが仕掛けられている環境を想定するなら、こうした固定パスワードでは成りすまされることになる。そのため、住所変更も困難にする必要があるというわけで、ログイン自体に乱数表を使うようにしたのだろう。

これは賢くない選択だ。そういう配慮なのなら、住所変更届けや、メールアドレス変更、出金操作など、重要な操作の最後のステップで乱数表を参照するようにすればよい。ログイン時に求めない方が安全性が高い。住所変更やメールアドレス変更は、そう頻繁に使うものではあるまい。

ところで、この乱数表を「ワンタイムパスワード」と呼ぶのはいかがなものか。10個の枠から2か所を順に選ぶ組み合わせは90通りしかないので、数十回利用すれば次第に「ワンタイム」でなくなってくる。

というか、1回に2枠ほどバレていくので、5回 + 数回ほど利用した時点でほぼ全桁がバレてしまう。3回ほど利用すると、半分ほどの枠がバレていることになるので、そのときは、1/4ほどの確率で2桁とも知れているし、1/2ほどの確率であと1桁がわからないわけだが、0〜9を選ぶだけなので、×1/10の確率で突破できる。2回まで間違えられるようになっているとすると、×3/10 の確率で突破できてしまう。つまり、1/4 + 1/2 × 3/10 = 40% ほどの確率で突破できる。いくらなんでも弱すぎないか?

ただでさえ弱い乱数表を、入出金明細照会のたびに使わせるのでは、もうほとんど存在価値がなくなってしまっているのではなかろうか。

今回の措置で、

なお8月以降は、ご契約者カードを紛失された場合、従来通り一度解約して
再度新規でお申込いただくこととなりますので、あらかじめご了承ください。
ということになったので、乱数表を新しい番号のものに取り替えることもできない。同じ表をずっーと使うわけだ。

あと、一般論だが、日本銀行金融研究所の「インターネットを利用した金融サービスの安全性について」には、

しかし、もしも金融機関側のシステムが、攻撃者にとって都合のよい値が出るまで、「チャレンジの出し直し」をさせることができる作りであった場合、問題が発生する。こうした認証方式では、通常、暗証番号を試行錯誤的に入力する攻撃を回避するために、「チャレンジに対するレスポンスの入力エラーは3回以内」などといった制限を設け、制限値を超えると入力を規制するといった仕組みを採用することが多い。しかし、「チャレンジを表示させる回数」については、制限を設けていないシステムが存在するようである。

という指摘もあるのだが。これって、1年半も前に日本銀行のシンポジウムで話された内容なんだが。これを「知らなかった」で済ませられるのだろうか。

銀行がこんなメールでいいのか

常陽銀行からの告知メールも、発信源が怪しげだ。

Received: from agent1104f.smp.ne.jp ...
Message-Id: 
Date: Thu, 17 Jul 2003 15:05:19 +0900
From: "常陽銀行" 
Subject: 常陽ダイレクトバンキングご契約者カード再発行受付サービス終了のお知らせ

そもそも、差出人アドレスからして、「biglobe.ne.jp」ドメインというのがスゴイ。こういうのに慣らされている預金者は、何の疑いもなく本物と信じるんだろうか。

もっとすごいのは本文だ。

     ↓↓↓↓↓【重要】↓↓↓↓↓
★「ご契約者カード」を紛失されているお客さまにつきましては
  お早めに再発行のお手続きをお願いいたします。
◇◆手続方法詳細はこちらから
[]http://r11.smp.ne.jp/u/No/10082/5D378869_10387/access-j.html[]
手続きのために、「smp.ne.jp」という謎のドメインにアクセスしろというのだ。

しかも、Webバグ(Web盗聴器)付きだろうか? 「5D378869」あたりが受信者ごとに異なるっぽいが、確認できていない。

「answer.or.jp」なんてドメインがあったら紛らわしくて困る

http://www.joyobank.co.jp/access-j/index.html で「ログイン」のところをクリックすると、https://www2.paweb.anser.or.jp/BS?CCT0080=0130 にジャンプするのだが、「anser.or.jp」がNTTデータのサービスであることを知っていないと、信用してよいかを判断できない。http://www.anser.or.jp/ に説明があるわけでもないという、秘密主義の徹底ぶりである。

http://www.joyobank.co.jp/access-j/index.html はSSLではないので、通信路上で改竄されている可能性を否定できない。もし、このページに書かれたリンク先URLの「anser」が「answer」に改竄されていたとして、はたしてジャンプ後に見分けがつくだろうか。

そういうことのないように、https://www.joyobank.co.jp/ に自力でSSLでアクセスして、そこからジャンプすればよいわけだが、このURLは Not Foundになってしまう。せっかくサーバ証明書をとっているのなら、活用したらいいのに。もったいない。

追記

ちなみに、常陽銀行のセキュリティについての説明ページは、けっこう真摯な態度で書かれているように思う。特に、「クッキー(Cookie)について」で、以下の点に触れているのは、他に見たことがない。

クッキー(※)をお取引画面間の情報引継ぎ管理等に利用すると、お客さまがセキュリティ対応されていないブラウザを利用されている場合に、クッキーの機能を悪用して悪意の第三者に不正使用される可能性があることが指摘されております。
ただ、文章がうまくないので、読者に理解できるかは疑問だが。

追記2

日経BPのWPC ARENAに、「ネットバンクで1600万円が突然消える」という記事が出ている。ここには、都市銀行とネット銀行の各行が、乱数表を使っているか否かの一覧表が示されている(下の方)。

すばらしい。ようやくこういう意味のあるセキュリティレベル比較をメディアがやってくれる時代になったかと感慨深い。というか、ようするに単に、事件が起きてからしかメディアは書かないということなのだが。

知識豊かな本誌読者なら、そういった危険を100%否定できないネットカフェで、無防備に銀行口座のIDとパスワードなど入力しないはずだ。

...
 事件後、「不特定多数が利用するネットカフェなどからの利用はお勧めできない」といった注意書きをネットバンキングのサイトで見かけるが、遅きに失した感は否めない

(原 隆、日経パソコン編集)

ネットバンクで1600万円が突然消える 利用者、銀行、ネットカフェに問われる危機管理意識, 日経BP

マスメディアの銀行比較も遅きに失したと思うのだが。次には、ぜひとも、上に紹介した、「チャレンジを表示させる回数については制限を設けていない」銀行をリストアップして公表してほしい。

訂正

「10個の枠から2か所を順に選ぶ組み合わせは90通りしかないので」と書いたが、ここの場合、2つの枠番号が、左より右が大きいという順でしか現れないようなので、45通りの組み合わせしかない。40% という数字も、正確にはもう少し大きめになる。

*1 松本勉, 岩下直行, インターネットを利用した金融サービスの安全性について, 金融研究第21巻別冊第1号, 2002年.

検索

<前の日記(2003年07月19日) 次の日記(2003年07月22日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2003年07月19日) 次の日記(2003年07月22日)> 最新 編集