HIEDA NET Corpration
 > これは変だよ  > セキュリティホール


 

さて、通常のタイトル指針ならば

こんな銀行、利用したくない!

にするところだが・・・・。

まずは、画像を。

「みずほダイレクト」という名称のオンラインバンキングのログイン画面のうちの合言葉確認2のdefault画面である。

  • 「このパソコンを登録しません」のチェックボックスが、defaultでOFF、である。

合言葉をいれ、このまま次へ進んでしまうと、このPCは
普段利用するパソコン
として登録され、次回からは、合言葉確認1と合言葉確認2の画面はバイパスする。

何をもって普段利用するPCとそうでないPCを区別するのかは、
  • cookieだけでは無い
  • アクセスしてきたPCのOSとipアドレスをデータベースに登録して、次回以降のアクセスしてきたPCのそれとの比較する
ということだ。
※ 「みずほダイレクト・ヘルプデスク」に電話で訊いて得た回答。

で、家庭で自分専用のPCならばこれでよいのだろうが、インターネット経由で利用するオンラインバンキング、という性質上、

  • 勤め先や学校の共用PC
を利用することもあろう。そして、人間は初回など慣れていないときに間違いを起こす。

  • 家庭での自分専用のPCからのオンラインバンキングに慣れていて、
  • はじめて、出先のPCでオンラインバンキングを利用したときほど、
間違いを起こしやすい。で、
  • このパソコンを登録しません
のチェックボックスをOFFのまま、次へボタンを押してしまう。

めでたく、共用PCで二つの合言葉確認をしない環境が提供されてしまう。
※ 鍵三つのうち二つが失われると言うことだ。

解決策は2通り

  • 今の文章のままならば、defaultで、チェックボックスをONで提供しておく
    ※ 登録したいPCのほうが世の中で少数と考える。ましてや共用PCなんか登録したくないはず。
    ※ 登録したいPCを登録するときに「チェックをはずす」という一手間するだけ。
    ※ ページデザインを変えるだけで対処も簡単。(type=checkboxでceckedにしておくだけ)
  • defaultで、checkboxを空白のままにしておきたいなら、このパソコンを登録しておく、という文章のロジックにしておく
    ※ 登録したいPCのほうが世の中で少数と考える。ましてや共用PCなんか登録したくないはず。
    ※ 登録したいPCを登録するときに「チェックを入れる」という一手間するだけ。

みずほダイレクトのヘルプデスクに電話したら、クレーマーのごとくあしらわれた。で、画面を印刷し、口座を持っている店舗を訪れて訊いてみた。

後日、店舗のお客様担当から電話があり、

  • お客様からのご指摘は承った
  • セキュリティと利便性を考慮するとしばらくは今のまま
という。

つまり、

  • つい、うっかりで共用PCを「登録してしまう」(つまり、三つの鍵のうち二つを無効にしてしまう)ことより、
  • 登録したいPCを登録するときに「チェックを変える」という一手間を省く、という利便性をとった
ということなのだ。

さらに、自分専用のPCで利用することを前提としており、共用PCなどというもので利用するのは利用者の自己責任で、という考え方だそうで。

僕の提案する運用では、日常、自分だけが使用するPCで、一手間かけても、一度登録してしまえば、利便性を享受できる。そして、ついうっかりで共用PCを「登録してしまう」事を防げる。

みずほ銀行、もっと権威ある人が指摘したり、実害が発生してから出ないと動かないのかな?

少なくとも、セキュリティがわかる人(がいたとして)には、この警告は届いていないようだ。
※ 理解できない人がいるんだよ。

これって、フィッシング詐欺がはやり始めの頃の気金融機関の「だまされる利用者がいけないんでしょ」という理屈とおんなじだぁ。

「オレオレ詐欺」についても、今は世間にも知れているから、ATMの前で電話しながら操作している人には声をかけるけれど、初期の頃は、
「銀行に責任は無いから、対策はしない。」
「だまされる利用者が悪い!」
って考えだったものね。

3大メガバンクの第三位の銀行のセキュリティ意識って、この程度なのね

一応、株主なんで、次の総会で訊いてみようと思う。

Slashdotで話題になってた:追記 Jul 15 2009

こんな冷静なコメントを読むと安心する。



初出 Jul 13 2009
更新 Jul 15 2009


 

 (C)2003-2009 HIEDA NET Corporation All rights reserved.