2013年 04月 28日
アカウントハック その4
ワンタイムパスワードも盗難、新ウイルスに注意
金融機関からインターネットバンキング利用者にメールで送信される「ワンタイムパスワード」を抜き取る新型ウイルスによる被害が国内で初めて確認され、警察庁が注意喚起している。
抜き取ったパスワードを悪用し、口座から預金を不正送金する手口で、同庁は、パスワードをメールで受信する際には、ウイルスに感染するリスクの低い携帯電話を使うなどの対策を講じるよう呼びかけている。
大手都銀などはインターネットバンキングでの不正送金被害を防ぐため、従来の固定型パスワードに加え、取引のたびに毎回、数字の組み合わせが変わる可変型のワンタイムパスワードを導入。メールなどで受け取った利用者は、固定型と、ワンタイムパスワードの両方を入力する。
(2013年4月28日10時44分 読売新聞)
いま知ったんですが、ワンタイムパスワードをメールで送ってくるシステムがあるようです。
・・・
バカ?
2つ目のパスワードを正規ユーザーが手元で発行することに意義があるのに。
誰にも覗かれないための仕組みを考えて、途中経路と末端PCにデータ「盗むタイミング」があるから、それを避けようと物理的なパスワード発生器(セキュリティートークン)や携帯やスマホのソフトウエアトークンでパスワードを作る。Netのどこかにいる窃盗犯には見られない。
それをメールで送ってくるなんて。しかも平文。
考えた奴は、物理的トークンやソフト開発のコスト削りました!お安く提供できますって思ったんだろうけど、それに乗るやつもどうかと思う。普通に考えたらわかるのに。
「ユーザーのPCは信用できません。ウィルス対策は出来ていないモノと考える。だとしたらどうすればのぞき見する奴を排除できるか?」
この視点だけ持っていれば、こんなバカシステムに乗るはずないのにね。
こんなアホシステムつかっている銀行は使わないように。
あと1点。使ってはイケナイWebシステムの見分け方。
ユーザー登録して「パスワードわすれましたー」ということにする。
アホシステムだと、メールで「あなたの登録したパスワードはコレです」って平文で送ってきたら、そのシステムは使ってはイケナイと判断しましょう。理由はもうわかりますよね?
by svetlana | 2013-04-28 23:45 | メディア