三井住友銀行ネットバンクの暗証が数字4桁になった件

投稿日: 2014/02/28 作成者: kurikiyo

高木先生案件かもしれません。

ネットバンクでは基本的にトークン(ワンタイムパスワード生成機)を使うようにしています。トークンとは一定時間毎に暗号化による6桁のパスワードを表示する親指くらいの大きさのデバイスです。

ジャパンネット銀行ですと、ログイン時はパスワード(自分で決めた英数字最大8文字)でログイン可、振込みや限度額変更など重要な処理の場合にトークンが表示するワンタイムパスワードを入力という合理的な設計になっています。

一方、三井住友銀行(SMBCダイレクト)はログイン時はパスワード(自分で決めた英数字最大8文字)とトークンのワンタイムパスワードの両方が必要、そして、振込みや限度額変更など重要な処理の場合にはもうトークンは関係なくて、昔ながらの暗証カードが必要、という変てこな仕様になっていました。

これですと外出先から振込みがあったか確認したいなんて場合にトークンを持ち歩かなければなりません(口座が複数あると口座ごとのトークンが必要)、また、セキュリティ上の脆弱性である暗証カードが結局必要になるので、何のためにトークン使ってるのかわかりません。しかも条件によっては月100円くらい利用料を取られます。

しかし、最近、三井住友から、新しいパスワードカードが使えるようになったということで連絡が来ました。ログインはパスワードのみで可能、暗証カードは不要ということで、ジャパンネット型の仕様に変更になりました。しかも利用料無料化ということで願ったりかなったりというこで切り替えを申し込みました。

で、新パスワード生成器(従来のトークンよりちょっとかさばります)の登録をしてみました(登録先の電話にシステムが電話かけて認証番号入れさせるステップが入っていて、登録は会社でやっていたのに、登録電話は自宅の電話になっていたのでちょっと参りましたが)。

さて、重要なポイントはここからです。登録の過程で、第一暗証(ネットバンクへのログインパスワード)の変更を求められたのですが、今までは英数字最大8文字だったのが何と数字4桁強制です。これを理由に切り替えをためらっています。

数字固定桁パスワードというと最近JALのマイレージサイトの事故に結びついた脆弱性として有名です。

一部報道記事でもわかってないものがあるみたいなので、ここで、一応説明しておくと、数字固定桁パスワードはリバースブルートフォースアタックに対してきわめて脆弱です。通常のブルートフォースアタックは特定のIDに対して多数のパスワードをトライする攻撃方法ですが、リバースブルートフォースアタックはパスワードの方を固定して、ユーザーID(会員番号、口座番号等)の方を変えてトライしていく攻撃方法です。狙った特定のアカウントに不正アクセスするのではなく、誰でもいいのでとにかく不正アクセスできればよい場合に使われます。数字4桁のパスワードで、ユーザー数10万であれば、平均して10アカウントには不正アクセスできることになってしまいます。

パスワードを一定回数間違えるとアカウントを無効にするとか、パスワードの変更をお願いするなんて対策はリバースブルートフォースアタックには無力です(なお、前者はネット系サービスだとDoSアタックに結びつくので別の意味で問題です)。特定IPからのログイン試行が短期間に連続したらブロックするという対応は取れますが。

三井住友銀行の場合は、ログイン時に第一暗証に加えてパスワードカードも必要とする設定にすることはできます(ただそうすると結局(かさばる)パスワードカードを持ち歩かなければいけないという元々の問題が生じます)。

また、ネットバンクの第一暗証はキャッシュカードの暗証と同じにする必要はないのですが、結局めんどうで同じにする人は出てくると思いますので、これまた、不正アクセス問題の種となりそうです。

あんまりこういうことは言いたくないですがこの設計をした人の顔が見たいです。

追記:三井住友のネットバンクのログインパスワードは最初から数字4桁だったとの意見が聞かれるので説明しておきます。確かに、元々は数字4桁でした(記憶が定かでないですが初期値はキャッシュカードの暗証番号と同じだったと思います)。しかし、どこかのタイミングで英数字4文字から8文字の形式に変更できるようになりました。その機能強化が今回の新パスワードカードの採用に伴って元に戻ってしまったということです。パスワードカードがないと振込み等はできないので最終防御壁はあるのですが、不正アクセスされて口座情報が見られるだけでも困りますし、キャッシュカードの暗証番号とログインパスワードを同じにしている人がいると、上記のリバースブルートフォースアタックで口座番号と暗証番号が同時に盗まれるリスクがありますので非常によろしくない設計です。

なお、なぜ自分がジャパンネットに統一しないかというと、海外送金関係と特許料金の口座振替が理由です。最近、海外送金は手数料が安い(ただし、ネットバンクの使い勝手は極悪)しんせい銀行に切り替えつつあるのですが、特許料金口座振替だけはどうしようもないので。

追記^2: しょうがないのでキャッシュカードの暗証番号とは当然違う数字4桁パスワードを設定して切り替えました。そこで、すごいものを見てしまいました。今までの仕様では、登録していない振込先への振込みは暗証カードが必要でしたが、登録済みの振込先には暗証カードなしでいきなり振込みできてました。ログイン時に一度トークンで認証しているからよいだろうという発想でしょう。しかし、新ログインカードになってからもこの仕様は踏襲されており、いったんログインしてしまえば、登録済みの振込み先にはパスワードカードなしで(当然暗証カードもなしで)いくらでも振込みできてしまいます(さらに追記:パスワードカードが常に必要になるようにも設定できることがわかりました、どうもすみません)。口座を登録しているからには一応信頼できる相手なわけですが、ちょっと怖いですね。新ログイン方式ではパスワード(数字4桁)のみかパスワード(数字4桁)+パスワードカードのワンタイムパスワードの組み合わせが選べるのですが、後者にしておかないとちょっと怖いなと思いました。

ところで、ジャパンネットでは、登録している振込み先であってもトークンのパスワードは必要です。ただし、特定の振込み先をトークン不要なように設定することができます(もちろん、トークン不要に設定するためには最初だけトークンのパスワードが必要です)。どう考えてもこちらの方が利便性と安全性のバランスが取れていると思います。

カテゴリー: IT | コメントする

マウスパッドから無線給電できるマウスの特許について

投稿日: 2014/02/27 作成者: kurikiyo

自分は、マウスは有線派です。ワイヤレスで充電式だとどうしても電池の分だけ重くなりますし、いざという時に電池切れなんてケースもあり得るので、できるだけシンプルにして余計なトラブルを避けたいと思っています。

しかし、昨日「サンワダイレクト、マウスパッドから無線で電力を供給するワイヤレスマウス」という記事を見て、これは結構いいかなと思いました。新製品かと思ったら数年前からある製品なんですね。マウスは通常はマウスパッドの上に載っているわけなのでそこから無線給電するのであれば充電池はいらない(キャパシターがあれば十分)というわけです。ナイスアイデアです。

ひょっとして特許になってないかと思って簡単に調べてみると、日本では、2002年に個人の人が同様のアイデアを出願しています(特開2003-216330)。この出願は、その後、審査請求未請求により取り下げになっています。

米国ですとIntelの特許(US7180503)が2001年に出願されており、2007年に登録されています。これは日本には出願されていないようです。

ということで、けっこう同案多数でした。たぶん、日本では自由に実施できるが、米国ではインテルの特許のライセンスがひょっとすると必要という感じじゃないかと思います(インテル特許をうまく回避できる方法があるかもしれないので定かではないですが)。

カテゴリー: ガジェット, 特許 | コメントする

【実務者向け】国内優先権委任状追加の補正について

投稿日: 2014/02/26 作成者: kurikiyo

ちょっとややこしい事例に遭遇したので自分のメモも兼ねて書いておきます。

自分ではない代理人が代理した国内出願Aに優先権を指定してPCT出願をしました。こういうパターンの場合、PCT出願時点では何も言われませんが、そのPCT出願を国内移行した後に「国内優先権主張無効の通知」というちょっと怖いタイトルの通知が来ます。この場合には、国内移行により生まれた出願を国内出願Bとすると、国内出願Aに国内優先権主張の授権の委任状を付加する手続補正書と委任状を国内出願Bに対して提出すれば問題は解決します。

ここまでは割と周知だと思います。なお、PCT出願の代理人と国内移行を行なった代理人が異なる場合は、国内優先権主張無効の通知は国内移行をした代理人に届きます。

さて、先日、同じクライアントの別件の委任状を特許庁に提出する機会があったので、そのついでに国内出願Aに対して国内優先権主張授権の委任状を先出ししておこうと思って、手続補正書を提出したら、国内出願Aは国内優先権主張から1年3ヶ月経過しており、特許庁に係属していないため補正を却下する旨の通知が来てしまいました(後の出願が国内移行してなくても取下擬制は行なわれるのですね、よく考えてみれば当たり前ですが)。

まあ、別に心配することはなく、PCT出願国内移行後に生まれた新出願(上記でいう国内出願B)に対して(国内出願Aに対する)委任状追加の補正をすればよいだけの話なのですが。

カテゴリー: 特許 | コメントする

「見えないヘルメット」特許の中味を見てみる

投稿日: 2014/02/26 作成者: kurikiyo

先日のエントリーで触れたスエーデンの女子大生(出願当時)による「見えないヘルメット」(実体は首に巻くエアバッグですが)の米国特許公報(8402568)の中味をちょっと見てみましょう。

この特許米国で登録されたのが2013年3月16日ですが、優先日(実質出願日)は2005年まで遡ります。審査経過を見ると一度拒絶査定を受けた後、米国独自の制度であるRCE(継続審査要求)を使って粘りに粘って特許化されています。普通こういうケースですと、新規性確保のために苦し紛れの限定がかかって範囲が狭い特許権になるケースが多いのですが、この特許のクレームを見る限りそういう状況にはなっておらず結構広いです。クレーム1は以下のようになっています(日本語訳および下線付加は栗原によります)。

1. A system for protecting a portion of the body of a user in case of an abnormal movement, said system comprising:

an apparel; and

an airbag folded and arranged in said apparel before inflation;

wherein said airbag includes

first means for inflating to surround a neck portion and a back head portion of said user; and

second means for inflating to form a hood that covers a crown of a skull of said user;

said first means also for beginning inflation prior to said second means.

異常な動きがあった際に、利用者の人体の一部を保護するためのシステムであって、

衣服と、

膨張前に前記衣服内に折りたたまれて格納されるエアバッグとを備え、

前記エアバッグは、

前記ユーザーの首部分と後頭部を取り巻くように膨張するための第一の手段と、

前記ユーザーの頭蓋骨の頭頂部をカバーするフードを形成するように膨張するための第二の手段とを備え、

前記第一の手段は前記第二の手段に先立って膨張を開始することを特徴とする

システム

余計な限定(たとえば、エアバッグを膨らませる方法)がかかっておらずかなり範囲が広いです。下線部の「頭のエアバッグより先に首のエアバッグが膨らむ」という条件が特許化のポイントになったようです。

この特許を回避しようと思うとというこの条件をはずさざるを得ないわけですが、もし首が固定される前に頭のエアバッグが膨らんでしまうとむち打ちのリスクが増すと思われるので、この条件をはずした製品を作るのはちょっと厳しいんじゃないかと思います。

なお、本特許はスエーデンからPCT出願(国際出願)されており、欧州(EPO)と韓国で既に成立しています(日本には出願(国内移行)すらされていません)。欧州特許(EP1947966)のクレーム1は、上記とほぼ同じなのでなかなか強力な特許資産と言えるのではないかと思います。

カテゴリー: 特許 | コメントする

Telepathy Oneの特許出願がまだ見当たらない件

投稿日: 2014/02/25 作成者: kurikiyo

ちょっと時間ができるとおもしろい特許が出願されていないかをWIPOやUSPTOのデータベースを中心にサーチしたりています。主にブログのネタ収集用です(なので、茂木経産相の特許公報が出た時もすぐ記事にできました)。

そういう定期的サーチ対象のひとつが、井口尊仁(IGUCHI Takahito)氏、セカイカメラ、そして、グラス型ウェアラブルコンピューターのTelepathy Oneの発明者です。Telepathy Oneは今年発売を目指しているそうなので、もし特許出願をしているとするならばそろそろ公開されてもよさそうなのですが、IGUCHI Takahitoを発明者とした出願公開は今のところ見当たりません。(なお、頓知ドット時代に日本で1件出願されていますが出願審査未請求により取り下げになっています)。

とは言え、Telepathy Oneの開発発表をしたのが昨年の3月、VCから約5億円を調達したのが昨年の8月なのでその直前に出願しているとするならば、公開(出願から1.5年)まではまだ間があることになります。自社が出願した事実を発表する義務はないので、出願した事実と内容はVCとの間だけの機密情報である可能性もあります。

また、特許出願をしないという選択肢ももちろんありますが、この手の市販されるデバイスは商品をリバースエンジニアリングされると中味がすぐわかってしまうので、特許を押さえておかないと模倣に弱いです。また、当然にGoogle等からの特許権権利行使のリスクがあるので、その場合の交渉材料として自社特許を押さえておくことも重要です。ゆえに、敢えて特許出願をしないというのはちょっと考えにくいと思います。

もちろん、まだ特許出願がされていないとわかったわけではないので、今後もウォッチを続けていくことにします。

カテゴリー: 特許 | コメントする