先日書いたネット銀行のセキュリティに関してまとめてみました。(OTPはトークン(パスワードカード)で生成されるワンタイムパスワードを意味します)。他の銀行は知りませんのでご存じの方、この表に追加してみてください。
| JNB | SMBC(旧) | SMBC(新) | ||
| ログイン時 | ID | 口座番号+ログインID | 口座番号 または 契約者番号 | 口座番号 または 契約者番号 |
| PWD | 英数字最大8文字 | 英数字最大8文字+OTP | 数字4桁 (数字4桁+OTPに設定可) | |
| 振込時 | 登録済口座 | OTP (特定の登録口座のみOTP不要に設定可) | デフォルトではノーチェック (暗証カードが必要なように設定可) | デフォルトではノーチェック (OTPが必要なように設定可) |
| それ以外 | OTP | 暗証カード | OTP |
JNB(ジャパンネット銀行)では、口座へのログインは英数字8文字のパスワードで一応守られており、外出や出張中に残高確認等のためだけにトークンを持ち歩く必要がない(トークンは銀行印のようなものなので普段は金庫にしまっておきたいです)一方で、出金はトークンのOTPで守られており暗証カード不要です。自分的には利便性と安全性のバランスが取れていると思います。
SMBC(三井住友銀行)の旧システムでは、ログイン時にワンタイムパスワードが必要だったので事務所以外から残高確認を行なう場合にはトークンを持ち歩く必要がありました。トークンがあっても旧来の暗証カードは依然として必要でした。また、デフォルト設定では登録済みの口座にはノーチェックで振り込めてしまうのでちょっと怖いです(暗証カード必要なように設定可能ですが)。
SMBC新システムでは一見改良されているようですが、パスワードが数字4桁になってしまったので、ログイン時もOTPが必要な設定にせざるを得ません。結局、旧システムと比べて良くなったのは暗証カードがいらなくなったということくらいです。
SMBCの新システムを使う人は、1)ログイン時は暗証(数字4桁)とOTPが両方必要なように設定、2)登録済口座への振込みはOIPが必要なように設定、3)数字4桁のパスワードはキャッシュカードの暗証番号と同じにしない、という3点に気をつけておいた方がよいと思います。
なお、SMBCは、ネットバンクのログインIDとして口座番号がそのまま使用可能になっています。口座番号は取引先等には知られていますので、悪意を持った人が、その口座番号で適当なパスワードを何回か試行することでログインをブロックさせてしまうというDoSいやがらせが可能になってしまいます。
JNBは、この問題をさけるために、どこかのタイミングでユーザーが自分で設定可能なログインIDが必要なよう改良しました(ログインIDは何回間違えても失効しないためログインIDを秘密にしておけばDoSいやがらせが防げます)。(追記:なぜか法人口座ではログインIDが使えないようです、JNBもパーフェクトではありませんでした。)
一方、SMBCは、昔は、契約者番号という暗証カードに書いてある番号(他人に秘密にすべき番号)をログインIDとして使っていたのですが、これもどこかのタイミングで口座番号だけでもログインできるように設計変更されてしまいました。
SMBCには別にないものねだりとかわがままを言っているわけではなく、最初からJNBのような設計にすればいいものを、なぜ、わざわざ脆弱性を取り込むような設計変更を行なってきたのかという点が不可解でということです。
投稿のフィード