残念な楽天銀行!セキュリティを携帯に依存して自爆?
楽天銀行
認証の仕組みにワンタイムパスワードを使うところが増えてきた。野村證券みたいに逆行する反社会的な動きもないわけではない。
トークンカードとかいう乱数発生装置みたいなものを使う方法と、メールで伝える方法とが主流。
楽天銀行はワンタイムキーと呼んでいるが6桁程度のコードをメールで送るやり方だが、セキュリティ設計に穴が開いている。
携帯電話のメールアドレスに拘って自爆?。楽天の担当者または経営者は携帯電話がどういうものかまるで分かっていないのだろう。あるいは危険予知訓練がまったく出来ていない。ワンタイムキーを送るメールアドレスは複数登録できていたのにいつの間にか携帯のメールアドレスしか有効でなくなった。
携帯電話のメールアドレスは変更することがある。気まぐれ変えることもあれば間違い防止のためにけることもあれば迷惑メール対策で変えることもある。
一度破棄したメールアドレスは二度と使えないことが多い。楽天銀行の登録メールアドレスも同じルールを採用している。
そうすると結果的に二度とワンタイムキーは受け取れない。
携帯電話の故障でもワンタイムキーは受け取れない。紛失、盗難の場合は何と他人が受け取れる状況だ。解除しようにも携帯を持っていないと出来ない。
キャリアを変えた場合もMNPで電話番号は継続できるがメールアドレスは変更される。この場合もメール設定は変更できない。確認のワンタイムキーは存在しないメールアドレスに送られるからだ。キャリアによってメールアドレスの重複設定が出来る場合は赤の他人にメールが送られてしまう。この場合も解除も直ぐにはできない。
携帯のエールアドレスが何の理由であれ使えない場合は再設定手続きを要求するが、ずっこけた話、郵送でのやり取りだ。1週間は楽に掛かるし、旅行中や別荘に入っていたりすると対応方法がない。
大事なときに決済できない銀行なんか意味がない。特にネットバンクはフットワークが命。担当者の愚かしい携帯電話偏重主義で、何処から見ても問題の多い仕組みを作り上げた。セキュリティの基本事項CIAの一つも理解できていないのだろう。
楽天が入ってきてイーバンクより悪いシステムになってしまったのは、楽天のセキュリティ設計能力が極めて低いということでしょう。
※
携帯やスマホの2年縛りの話も知らないらしい。2年縛りとは利用者から見ると、2年拘束だけど、2年後には其の時点のベストキャリアを採用するということだ。キャンペーン、料金プラン、デバイスなどから総合判断するのは今時の常識。こういう中で携帯メールに拘るのは全く世間知らずでセキュリティ設計の資格もないだろう。キャリア固有のサービスは出来るだけ利用しないのが今のまたはこれからの利用スタイルなのに何を考えているんだろう。
しかし、そのような大事なルール変更も適切なアナウンスもしないで実施しているのだから、話にならない。
楽天銀行の残念は今回限りの保障はない。次は次でまた愚かなルール設定で自爆していくに違いない。システム変更の妥当性を検証する仕組みがないかあっても能力が低いのだろう。これは楽天銀行だけの問題ではないだろう。セキュリティガバナンスが楽天グループとして不十分なレベルにあると見ていいだろう。若いアマチュアの会社なのかな?。
楽天銀行はもはや昔のイーバンクでない。決していい意味ではない。可用性の観点でどんどん脆弱になっているのだ。
この際、楽天の金融関連サービスは口座を一旦閉めることにしよう!
- 楽天銀行
- 楽天証券
- 楽天カード
- 他何かあったかな?、兎に角、一度全部撤退だ~!。
◎いざという時に使えない銀行なんか絶対要らない。
◎楽天銀行で検索するとセキュリティ事故(事件)の記事も出てくる。セキュリティ担当のレベルを考えると当然かも知れない。
※
コールセンターもチャットサポートもよく工夫されているのに、基本設計が駄目だと、何処へアクセスしても郵送手段しかない。振込みを急ぐ場合は電話で本人認証して時間限定的にワンタイムキーをスキップして処理できるようだ。これって、個人情報さえ入手してしまえば、30分間その人の口座を自由に出来るんだ!?。こっちのほうも怖い話だね。
※