ネットバンキング新生銀行セキュリティの脆弱性
新生銀行は最近増えてきたとはいえ店舗数は数えるくらいしかない。その多くも無人のATM店舗のように見える。だから、利用は専らネットバンキングになる。手数料政策が功を奏してネットバンキングの中では高い指示を受けているように思う。
ところが、
各銀行、各金融機関などはネット対応した結果、どうしてもアグリゲーションサービスを利用することになるが、この時になって、各サイト各サービスのセキュリティ対策を横並びで見ることが出来るようになる。その優劣がはっきり見えてくる。
<警告>
新生銀行は極めて脆弱なシングルデバイス1段階認証方式を改めよ!
※
これが結論ですね。各金融機関が苦労してセキュリティの工場に勤めている時に、新生銀行はアイディ(口座番号)、暗証番号(数字4桁)、パスワード、暗証カードコード(固定の文字テーブル)を入力してログインするが、ログイン後は殆ど全ての操作が出来てしまう。
アグリゲーションサービスではこれら全てをサービス側に渡すことになるが、サービスサイトで一旦情報漏洩したら全損のリスクを負うことになる。世の中に完璧なサービス、セキュリティなど無い中で全く不用意なセキュリティ設計と言わざるを得ない。
盗難・空き巣の時でも、ワンセット持ち逃げされたら、容易にログインされてしまうだろう。
新生銀行のセキュリティ担当は重大な過失を犯していると言わざるを得ない。金融機関として常識を理解せず社会的責任を果たしていない。今後何かセキュリティ事故があった場合は全額を補償すべきだろう。
普通はどうか(他行はどうか):
ログイン時にワンタイムパスワードを要求する。ハード的な発生装置は一緒に持ち去られるので、最近はスマホなど別デバイスに通知される方式が多い。
さらに重要なことは、口座内容の閲覧(確認)のレベル (ローレベル)と決済や設定変更のレベル(ハイレベル)を区別して、ハイレベル利用時は更に追加の認証を行うことだが、新生銀行は全く無頓着。
新生銀行は全く酷いことに10年以上も古い方式のまま放置していること。 怠慢以上の背信行為。
※
⇒
結局、新生銀行は家計簿代わりには使えないと言うことかな。セブンイレブンとかイオンのATM利用が実施t無料で使えるソニー銀行が生活銀行としてはベストいうことになりそうだ。作戦を変えることにしよう。
※
<新発見>
アグリゲーションサービスを利用するときに、新生銀行は暗証カードの入力を求められて大変だと思ったら、アグリゲーションサイトによっては状況は180度も違うのが分かって驚いた。
古くからサービスを提供しているNTTコミュニケーション(OCN家計簿:Kakeibon)やマネールックでは暗証カード内容の入力が必要だが、比較的新しいマネーフォワードやザイムZaimではその必要がないので情報漏えいによるリスクは限定的にできる。マネールックは暗証コードなどの情報はクラウドに吸い上げない構造にしているのでパソコンが乗っ取られない限り安全性は高い。最悪は全てのログイン情報をネットサーバーに吸い上げて運用しているKakeibonということになる。使ってはいけないアグリゲーションサービスはKakeibonというのが正しい理解だろう。因みにKakeibonはレシート入力を依存していたZaim連携を2017/05で終了すると発表したがますます存在価値を希薄にしているのは撤退への第一歩か。ビッグデータを放棄するならNTTコミュニケーションの経営までも怪しいものだ。
※