10周年のSPコンテンツ!

滋賀銀行のセキュリティが危ない?

滋賀銀行のネットバンキングやらキャッシュカードやらでセキュリティが後退しているのでは?という話題があったのでまとめてみました。 (まとめ作成は初なので至らない点はご容赦を)
セキュリティ ネットバンキング 銀行 経済
15

滋賀銀行のインターネットバンキングのログインパスワードがまさかの数字onlyで4〜8桁と話題に

椎路ちひろ @ChihiroShiiji
おお、滋賀銀行よ……。 「新しいログインパスワード(半角数字4~8桁) 」 数字Only最大8桁ですと?!
椎路ちひろ @ChihiroShiiji
その上、ログインページのURLのドメインが"bb4.ib.finemax.net"でEV認証はHitachi Ltd.。 日立が作ってるのか&この滋賀銀と無関係な上に見慣れないURLはフィッシングされたらキツいね…という。
Hiromitsu Takagi @HiromitsuTakagi
滋賀銀行のログインパスワードが数字4桁〜8桁という話、マジだった。よくこれで被害が出ないな。気づいていないか、隠蔽してるんだろうね。それにしても、今時アドレスバーをわざわざ非表示にするポップアップウィンドウで開くとか化石レベルだ。10年前までに絶滅させたはずだが。 pic.twitter.com/UzRad9e3mB
拡大
Hiromitsu Takagi @HiromitsuTakagi
数字しかないソフトウェアキーボド(笑)が泣かせてくれる。 pic.twitter.com/u5CopVj4SC
拡大
Hiromitsu Takagi @HiromitsuTakagi
いやいや、アンタ、ポップアップ画面を表示して暗証番号の入力させてるやん。 shigagin.com/news/dinfo/716 「当行では、ポップアップ画面を表示して、お客さまに暗証番号等の情報を入力していただくことは一切ございません。」 pic.twitter.com/hHA2vk38ZE
拡大
椎路ちひろ @ChihiroShiiji
Finemaxで検索するとここにも高木氏の足跡が!w 2007年12月15日 ■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている takagi-hiromitsu.jp/diary/20071215…
ヒー子☕ @12648430
URLも滋賀銀行とはかけ離れたものだ。滋賀銀行を騙ったフィッシングサイトと思われても仕方がないのでは。
Naomi Suzuki @NaomiSuzuki_
滋賀銀行のパスワードが、エイプリルフールネタではなくマジで数字4桁〜8桁な件。ちなみに振込時には、事前登録した6桁の数字(確認用暗証番号)のうちの指定した桁2個を入力という絶滅危惧種仕様なので、昔のキットの出番ですよ! twitter.com/HiromitsuTakag…
石橋 茂政 @Shige0301
これ、滋賀銀行だけの問題なんかな? だいたい、EV証明書ではあるけど、なぜか日立製作所のやつだったりするし。日立のパッケージか何かなんじゃ? 最初に使った時は少しびっくり。 そして、口座開設してネットバンキングも開設したけど、未だ1円も預けてない。 twitter.com/hiromitsutakag…
椎路ちひろ @ChihiroShiiji
名古屋支店の1個人口座ユーザ(比較的大口で付き合いは長いにしても)が苦情あげたくらいで、この「10年前に滅ぼした筈」と高木氏が呟いてしまうような古めかしい特徴を遺存したレガシーネットバンキングサービスにどの程度の改善が見込めるものか。
椎路ちひろ @ChihiroShiiji
振り込みで6桁中の指定された2桁分を入力して使う「確認PW」も数字。 も、とにかく桁数の少ない数字にこだわる滋賀銀のネットバンキングサービス。
椎路ちひろ @ChihiroShiiji
大体、Finemaxのサービス上に展開してるので改善するにしても上限はその辺り。 Finemaxが一応はワンタイムパスワード生成器に対応してる[ hitachi.co.jp/New/cnews/mont… ]ようなので滋賀銀行もちゃんと対応しろや!…くらいは求めてもバチは当たらない気はするけど。
椎路ちひろ @ChihiroShiiji
その上、ログインページのURLのドメインが"bb4.ib.finemax.net"でEV認証はHitachi Ltd.。 日立が作ってるのか&この滋賀銀と無関係な上に見慣れないURLはフィッシングされたらキツいね…という。
椎路ちひろ @ChihiroShiiji
と思って改めて探し直してみると: ワンタイムパスワード(ソフトトークン)について shigagin.com/personal/direc… お、あるじゃん…と思ったらハードウェア型なし、スマホアプリ型のみの対応可かよ…。うちモバイル機器はガラケーとタブレット+モバイルルータなんじゃが…。
椎路ちひろ @ChihiroShiiji
IE11立ち上げて「ソフトウェアキーボード」機能使ってみたけれど、数字をクリックしても入力されないでキーボードから入力できるという無意味な挙動だった。Firefoxでも同じく。ダイアログも出ない。修正されたというよりは機能が殺されている?(ならソフトウェアキーボードのチェックも消しとけよ感
ynaga @ynagavw
@HiromitsuTakagi 滋賀銀行の個人向けオンラインバンキングはFINEMAXというサービスにアウトソーシングしているようですが、ログインパスワードの設定はそのサービスのデフォルト設定かまたはカスタマイズできないのではないでしょうか。

どうも無理に他サービスと共通化を図ったためらしい

椎路ちひろ @ChihiroShiiji
PWが数字のみ4-8桁であるだけでなく、ユーザIDも数字のみ(桁数は何故かPWの最大長より長いw) twitter.com/ChihiroShiiji/…
椎路ちひろ @ChihiroShiiji
IDとPWのフィールドにイレギュラーなフィールド名を使っているせいかパスワードマネージャはピクリとも反応しないが、これはパスワードマネージャを使わせまいとする努力というよりは単に行内の独特な用語を反映しただけのような気もする。
椎路ちひろ @ChihiroShiiji
これはどうもテレホンバンキング(有線)・モバイルバンキング(携帯)とID、PW、確認PWという仕組みを共有しているためではあるまいかと疑っている。
椎路ちひろ @ChihiroShiiji
実際、テレホンバンキング、インターネットバンキング、モバイルバンキングで共通化された「ご利用の手引き」1冊が送られてきて全部で同じID、PW、確認PWという仕組みを使いまわしてる…。
椎路ちひろ @ChihiroShiiji
恐らくこの無理な共通化のためにテレホンバンキングもモバイルバンキングも使わないネットバンキングのみユーザも数字4-8桁PWに制限されちゃってることになる。 twitter.com/ChihiroShiiji/…
椎路ちひろ @ChihiroShiiji
とにかく、何かあるたびに支店の物理窓口、電話、郵送、紙の申請書に署名捺印が飛び交う1週間単位の長閑なネットバンキングである。不便なのは自覚があるのか電話窓口では確認暗証番号再設定せずにあてずっぽで挑戦することを勧められたが、(続く twitter.com/chihiroshiiji/…
残りを読む(17)

コメント

椎路ちひろ @ChihiroShiiji 2018年4月2日
一応、ワンタイムパスワード対応の案内もあるのはその後見つけました: https://twitter.com/chihiroshiiji/status/980555807660982272 スマホオンリーなのでガラケの私は対象外なのが残念ですが。
奥山犛牛 @bogyu 2018年4月2日
有り物のシステムを使うにしてもセキュリティに関する最低限の見識は必要。この仕様(4~8桁の数字のみのパスワード)を受け入れた日立の側も悪い。
ykms.zip @y_k_m_s_ 2018年4月2日
ワイ滋賀県民、高みの見物 …ゆうちょ民でよかったわ
椎路ちひろ @ChihiroShiiji 2018年4月3日
その後、ワンタイムパスワードを導入してみました…なTweet: https://twitter.com/chihiroshiiji/status/980885218809688065
ログインして広告を非表示にする
ログインして広告を非表示にする