みずほ銀行のセキュリティ強化について

みずほ銀行から、インターネットバンキングのログイン時のセキュリティ強化についての連絡が届いた。
ところがこれ、中身を見てみるとどうなんだろうと思ってしまう。対策の主な内容は以下のとおり。
(1) 通常のログインパターンと違う場合、事前に登録しておいた合言葉も入力させる
(2) パスワード入力画面に選択しておいた画像を表示することで、正規のサイトであることを確認できる
(1)については、「合言葉」の詳細が分からないが、おそらく質問と解答を登録しておくことで、不審な利用者がログインを試みる場合に難易度が上がるという狙いなのだろう。このこと自体は悪いことではない。
ただし、実際にログインするときに聞かれる可能性もあるので、あまり答えにくい(忘れそうな)解答は登録しないのではないか。安易な質問・解答が登録できるのであれば、犯罪の抑止につながるとは考えにくい。なので、結局はパスワードが破られないように徹底してもらうほうがよいのではないだろうか。
(2)については、サイトの表現を引用する。

ログインパスワードの入力画面に、お客さまが事前に登録した「画像」(*3)が表示され、お客さまがアクセスしているサイトが正規のみずほダイレクトであることを画面上でご確認いただけます。

みずほ銀行というのは、日本有数の大銀行であって、システム作りについても大勢の「プロ」がかかわっているに違いないのだが、どうしてこんな馬鹿なことを平然と書くのだろう。
画像はみずほ銀行が用意したものの中からしか選べないということだから、特定の画像に決め打ちした偽サイトだけでも、引っかかる人は多数出てしまう。
さらに、偽サイトは正規のホストと中継を行うことも可能だから、「正しい」画像を表示することも技術的には難しくないだろう。「正しい」画像が表示されることと、そのサイトが本物かどうかは、本来全く関係がないことだ。
ところで、合言葉や画像を選ぶ時には、以下のような注意書きがされている。

登録の際は、フィッシング詐欺(偽の電子メールなどで、偽のウェブサイトに誘導して個人情報を搾取する詐欺)等にご注意いただき、必ずみずほ銀行の正規のウェブサイトであることをご確認のうえご登録ください。フィッシング詐欺についてご注意いただく点などくわしくはこちら。

この注意書きからのリンク先では、SSLの鍵およびURLを確認するように指示されており、この内容はまともと思える。なのに、なぜ「登録の際は…」と限定してしまったのだろうか。「インターネットバンクご利用の際は…」と書いておけば、今回の「セキュリティ強化」はあまり必要性がないだろう。
少なくとも、選んだ画像を表示させる機能については、必要がないどころか、偽サイトを正規のサイトと誤認させる可能性を高めており、むしろリスクを増やしていると言える。
なぜこのようなものが公になってしまったのだろうか。偉いさんが政治的な理由で「セキュリティを強化せよ」と指令を出したのか、それともお金の欲しいベンダー側から提案がされたのかは分からないが、事情を分かっている人はこんなものは止めさせるべきじゃないのか。それが技術者の良心というものだろう。
(2008/8/22追記)
先日ログインしたとき、実際にこの機能を使うことになってしまった。
「合言葉」機能については、あらかじめ用意された質問の中から選ぶ仕組みだった。
しかし「大学の研究室名」とか「母親の誕生日」とか、ちょっと調べればすぐにわかりそうで、パスワードを奪うよりも容易な気がする。
画像に関しては、自分の選んだ画像がログイン時に表示されるようになった。これをみて安心してしまう人が出てくるなら、本当に危険だ。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です