先日書いたネット銀行のセキュリティに関してまとめてみました。（OTPはトークン（パスワードカード）で生成されるワンタイムパスワードを意味します）。他の銀行は知りませんのでご存じの方、この表に追加してみてください。

JNB（ジャパンネット銀行）では、口座へのログインは英数字8文字のパスワードで一応守られており、外出や出張中に残高確認等のためだけにトークンを持ち歩く必要がない（トークンは銀行印のようなものなので普段は金庫にしまっておきたいです）一方で、出金はトークンのOTPで守られており暗証カード不要です。自分的には利便性と安全性のバランスが取れていると思います。

SMBC（三井住友銀行）の旧システムでは、ログイン時にワンタイムパスワードが必要だったので事務所以外から残高確認を行なう場合にはトークンを持ち歩く必要がありました。トークンがあっても旧来の暗証カードは依然として必要でした。また、デフォルト設定では登録済みの口座にはノーチェックで振り込めてしまうのでちょっと怖いです（暗証カード必要なように設定可能ですが）。

SMBC新システムでは一見改良されているようですが、パスワードが数字4桁になってしまったので、ログイン時もOTPが必要な設定にせざるを得ません。結局、旧システムと比べて良くなったのは暗証カードがいらなくなったということくらいです。

SMBCの新システムを使う人は、１）ログイン時は暗証（数字4桁）とOTPが両方必要なように設定、２）登録済口座への振込みはOIPが必要なように設定、３）数字4桁のパスワードはキャッシュカードの暗証番号と同じにしない、という３点に気をつけておいた方がよいと思います。

なお、SMBCは、ネットバンクのログインIDとして口座番号がそのまま使用可能になっています。口座番号は取引先等には知られていますので、悪意を持った人が、その口座番号で適当なパスワードを何回か試行することでログインをブロックさせてしまうというDoSいやがらせが可能になってしまいます。

JNBは、この問題をさけるために、どこかのタイミングでユーザーが自分で設定可能なログインIDが必要なよう改良しました（ログインIDは何回間違えても失効しないためログインIDを秘密にしておけばDoSいやがらせが防げます）。（追記：なぜか法人口座ではログインIDが使えないようです、JNBもパーフェクトではありませんでした。）

一方、SMBCは、昔は、契約者番号という暗証カードに書いてある番号（他人に秘密にすべき番号）をログインIDとして使っていたのですが、これもどこかのタイミングで口座番号だけでもログインできるように設計変更されてしまいました。

SMBCには別にないものねだりとかわがままを言っているわけではなく、最初からJNBのような設計にすればいいものを、なぜ、わざわざ脆弱性を取り込むような設計変更を行なってきたのかという点が不可解でということです。

高木先生案件かもしれません。

ネットバンクでは基本的にトークン（ワンタイムパスワード生成機）を使うようにしています。トークンとは一定時間毎に暗号化による6桁のパスワードを表示する親指くらいの大きさのデバイスです。

ジャパンネット銀行ですと、ログイン時はパスワード（自分で決めた英数字最大8文字）でログイン可、振込みや限度額変更など重要な処理の場合にトークンが表示するワンタイムパスワードを入力という合理的な設計になっています。

一方、三井住友銀行（SMBCダイレクト）はログイン時はパスワード（自分で決めた英数字最大8文字）とトークンのワンタイムパスワードの両方が必要、そして、振込みや限度額変更など重要な処理の場合にはもうトークンは関係なくて、昔ながらの暗証カードが必要、という変てこな仕様になっていました。

これですと外出先から振込みがあったか確認したいなんて場合にトークンを持ち歩かなければなりません（口座が複数あると口座ごとのトークンが必要）、また、セキュリティ上の脆弱性である暗証カードが結局必要になるので、何のためにトークン使ってるのかわかりません。しかも条件によっては月100円くらい利用料を取られます。

しかし、最近、三井住友から、新しいパスワードカードが使えるようになったということで連絡が来ました。ログインはパスワードのみで可能、暗証カードは不要ということで、ジャパンネット型の仕様に変更になりました。しかも利用料無料化ということで願ったりかなったりというこで切り替えを申し込みました。

で、新パスワード生成器（従来のトークンよりちょっとかさばります）の登録をしてみました（登録先の電話にシステムが電話かけて認証番号入れさせるステップが入っていて、登録は会社でやっていたのに、登録電話は自宅の電話になっていたのでちょっと参りましたが）。

さて、重要なポイントはここからです。登録の過程で、第一暗証（ネットバンクへのログインパスワード）の変更を求められたのですが、今までは英数字最大8文字だったのが何と数字4桁強制です。これを理由に切り替えをためらっています。

数字固定桁パスワードというと最近JALのマイレージサイトの事故に結びついた脆弱性として有名です。

一部報道記事でもわかってないものがあるみたいなので、ここで、一応説明しておくと、数字固定桁パスワードはリバースブルートフォースアタックに対してきわめて脆弱です。通常のブルートフォースアタックは特定のIDに対して多数のパスワードをトライする攻撃方法ですが、リバースブルートフォースアタックはパスワードの方を固定して、ユーザーID（会員番号、口座番号等）の方を変えてトライしていく攻撃方法です。狙った特定のアカウントに不正アクセスするのではなく、誰でもいいのでとにかく不正アクセスできればよい場合に使われます。数字4桁のパスワードで、ユーザー数10万であれば、平均して10アカウントには不正アクセスできることになってしまいます。

パスワードを一定回数間違えるとアカウントを無効にするとか、パスワードの変更をお願いするなんて対策はリバースブルートフォースアタックには無力です（なお、前者はネット系サービスだとDoSアタックに結びつくので別の意味で問題です）。特定IPからのログイン試行が短期間に連続したらブロックするという対応は取れますが。

三井住友銀行の場合は、ログイン時に第一暗証に加えてパスワードカードも必要とする設定にすることはできます（ただそうすると結局（かさばる）パスワードカードを持ち歩かなければいけないという元々の問題が生じます）。

また、ネットバンクの第一暗証はキャッシュカードの暗証と同じにする必要はないのですが、結局めんどうで同じにする人は出てくると思いますので、これまた、不正アクセス問題の種となりそうです。

あんまりこういうことは言いたくないですがこの設計をした人の顔が見たいです。

追記：三井住友のネットバンクのログインパスワードは最初から数字4桁だったとの意見が聞かれるので説明しておきます。確かに、元々は数字4桁でした（記憶が定かでないですが初期値はキャッシュカードの暗証番号と同じだったと思います）。しかし、どこかのタイミングで英数字4文字から8文字の形式に変更できるようになりました。その機能強化が今回の新パスワードカードの採用に伴って元に戻ってしまったということです。パスワードカードがないと振込み等はできないので最終防御壁はあるのですが、不正アクセスされて口座情報が見られるだけでも困りますし、キャッシュカードの暗証番号とログインパスワードを同じにしている人がいると、上記のリバースブルートフォースアタックで口座番号と暗証番号が同時に盗まれるリスクがありますので非常によろしくない設計です。

なお、なぜ自分がジャパンネットに統一しないかというと、海外送金関係と特許料金の口座振替が理由です。最近、海外送金は手数料が安い（ただし、ネットバンクの使い勝手は極悪）しんせい銀行に切り替えつつあるのですが、特許料金口座振替だけはどうしようもないので。

追記^2： しょうがないのでキャッシュカードの暗証番号とは当然違う数字4桁パスワードを設定して切り替えました。そこで、すごいものを見てしまいました。今までの仕様では、登録していない振込先への振込みは暗証カードが必要でしたが、登録済みの振込先には暗証カードなしでいきなり振込みできてました。ログイン時に一度トークンで認証しているからよいだろうという発想でしょう。しかし、新ログインカードになってからもこの仕様は踏襲されており、いったんログインしてしまえば、登録済みの振込み先にはパスワードカードなしで（当然暗証カードもなしで）いくらでも振込みできてしまいます(さらに追記：パスワードカードが常に必要になるようにも設定できることがわかりました、どうもすみません)。口座を登録しているからには一応信頼できる相手なわけですが、ちょっと怖いですね。新ログイン方式ではパスワード（数字4桁）のみかパスワード（数字4桁）＋パスワードカードのワンタイムパスワードの組み合わせが選べるのですが、後者にしておかないとちょっと怖いなと思いました。

ところで、ジャパンネットでは、登録している振込み先であってもトークンのパスワードは必要です。ただし、特定の振込み先をトークン不要なように設定することができます（もちろん、トークン不要に設定するためには最初だけトークンのパスワードが必要です）。どう考えてもこちらの方が利便性と安全性のバランスが取れていると思います。