昨今ではスマートフォンやPCから利用でき、オンラインバンキングなどと連動できる家計簿アプリが登場しているが、こういったアプリの提供者を登録制にする方針を金融庁が示している(日経新聞、NHK)。
昨今の家計簿アプリではあらかじめネットバンキングやクレジットカードのネットサービスのアカウントを登録しておくことで、クレジットカードの利用履歴や銀行口座の取引履歴などを自動的に家計簿に取り込んで管理できる機能があるが、これらアカウント情報自体や関連する個人情報の流出などを危惧しているようだ。
具体的には財務内容が一定の要件を満たしているかや、個人情報保護体制が十分かどうかを国が確認するとしている。
東京都福祉保健局 薬事監視担当課やPMDAような団体になってほしい (スコア:2)
いわゆるWELQ問題で早く動いた(初動まではおそかったが、通報受けてからはめちゃ早い)ような
まともな規制団体であれば良いと思います。
#官僚の天下り先でもいいけど、ちゃんと守られるべき人が守られれば良いと最近は思うようにしている。
(「日本ユニセフ協会」と国連のユニセフ(国際連合児童基金)どちらでもたとえピンハネされても、
必要な資金が必要なところに行くのならそれはそれで良い)
Re:東京都福祉保健局 薬事監視担当課やPMDAような団体になってほしい (スコア:1)
金融庁がいわゆる中間的業者に登録制を導入し、(おそらく財務局を通じて)規制・監督を行うという話なのですが、どの団体のことをおっしゃっているのでしょうか?何か新しい団体を組織する話だと勘違いしてませんか?
Re: (スコア:0)
もちろん金融庁、はては行政組織全般でしょう。
Re:東京都福祉保健局 薬事監視担当課やPMDAような団体になってほしい (スコア:1)
国の行政組織が官僚の天下り先になることはあり得ないでしょう。
(そもそも東京都福祉保健局健康安全部薬務課やPMDAとは規制の仕組みも監督のあり方も全然違うのに、「ような」というのは何だろう。)
Re: (スコア:0)
官僚の天下り先云々は#コメントなので本題では無いでしょう。
であればタイトル~思いますまでは規制を行う組織全般を指すのではないかな。
まさか登録だけして何も行わないのが理想の登録制だなんて思ってないよね?
Re: (スコア:0)
引退した政治家や特定の有力者のためのポストですね
この国はそういう錬金術には長けている
Re:東京都福祉保健局 薬事監視担当課やPMDAような団体になってほしい (スコア:1)
残念ながら課長ポストすら増えないでしょう。
Re: (スコア:0)
ああ、オリンピック誘致ってそn
おや、だれか来たようだ。
Re: (スコア:0)
監督官庁との間で調整を行う業界団体はできるよね。
そして、そこには企業代表として天下りもあるだろう。
Re:東京都福祉保健局 薬事監視担当課やPMDAような団体になってほしい (スコア:1)
何らかの業界団体はおそらくできるでしょうけれど、業界団体を作って業界団体に規制させよう、という話ではないですよ。
Re: (スコア:0)
それ何のための業界団体?
Re: (スコア:0)
>必要な資金が必要なところに行くのならそれはそれで良い)
「一部」がA豪邸へ行けばいいだけですからね。
無駄 (スコア:1)
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
Re:無駄 (スコア:2)
ですよねー…。
ReadOnlyのトークン 的なものだったらまだしも、
お金関係で 全アクセス可能なパス とか、
セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
Re:無駄 (スコア:1)
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...
ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:3)
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.91791510399 と、90パーセント以上の確率で何れかのアカウントでの不正送金が成功してしまいます。
(実際には、時刻ベースのワンタイムパスワードは30秒更新なことが多いため、同一のアカウントに対しては完全な乱数ではなく過去の試行とは別の数字にし、30秒以内に新しい数字を試すことで、更に確率を高められます)
なお、多段階認証の一環として、普段と違う環境(ISP、Cookie、UserAgentなどで判定)からのログインの際に追加認証として秘密の質問への回答を要求する金融機関も増えてきていますが、家計簿Webアプリもそれらの情報の登録を要求しているため、一緒に漏えいすれば同じことです。
# みずほ銀行は、残高照会・入出金明細照会等専用のアカウントを、普通のインターネットバンキングのアカウントとは別に発行できる [mizuhobank.co.jp] るので、家計簿アプリも安全に使用できます。トランザクション認証への対応と、Webサイト全体の常時HTTPS(TLS)化もしていることから、邦銀の中では最高レベルのセキュリティだと思います。
Re: (スコア:0)
みずほに限定しなくても他行でも、機能限定のオンラインバンキングサービスは昔からやってますよ。
SMBC とかだとこちら [smbc.co.jp]
セキュリティやオンライン関連に関して、みずほは1年から2年出遅れてることが多いんですけどね。
Re: (スコア:0)
三井住友は、トランザクション認証対応してないし、
インターネットバンキングのパスワードも8文字まで(数年前までは数字4桁)と最低だった
法人向けは画像読み取り装置付きトランザクション認証が当たり前になってきたけど
一般個人向けでトークン型のトランザクション認証やってるのは今でもみずほだけ
過去はどうあれ、今はセキュリティで選ぶなら、メガバンクではみずほに一択
ネット専業を入れるなら住信のスマホアプリで取引承認する仕組みももなかなか良い
Re: (スコア:0)
みずほ銀行でも流出件数が多けりゃ不正送金できる率上がるから同じよ
全件アタックされて数件しか不正送金成功しないなら十分
パスワードの桁数なんかよりも、アタックされてることを検出できる体制にしているか、検出されたときどうするかの方が重要
今の銀行はセキュリティ名目でユーザーに不便を強いる方向にしか動いてなく、実際のセキュリティ意識は残念ながらどこも低いと思う
Re: (スコア:0)
何かよく判らないが、振り込め詐欺より遥かに困難なことは理解した
Re: (スコア:0)
HTTPSをブロックしていた [security.srad.jp]割にはしっかりとした対応なんですね。
HTTPSをブロック → ブロック解除 → 再度ブロック → 「常時SSL化」 を公式発表 (スコア:4, 興味深い)
みずほ銀行は、
と迷走を続けていました。
推測ですが、
などの理由で、銀行内で意見対立が生じるなどして、迷走してしまったのではないでしょうか。
新しい告知文章 [mizuhobank.co.jp]には、
と、SHA-1 だけでなく SSL3.0 もはっきり切り捨てる旨が書かれており、また三井住友銀行や三菱東京UFJ銀行が IE をのみを動作確認環境としている中、Firefox・Google Chrome・Safari、しかも「最新版」と明記した上で推奨している点も評価できると思います。
(SSL 3.0 を廃止しているのに「常時TLS化」や「常時HTTPS化」ではなく、「常時SSL化」と表記している点には違和感を覚えますが……)
過去の迷走は酷かったけど、今現在のセキュリティ面での対応は素晴らしい と思います。
Re:無駄 (スコア:1)
スマホのアプリから振り込んだら、パスワードいらんかったです。
Re: (スコア:0)
それはワンタイムパスワードの確認をスキップしてるのではなく
ワンタイムパスワードの入力の手間をスキップしてるだけのタイプか
もしくは、アプリ利用開始時に利用登録として口座契約登録の電話番号などで本人確認をして
利用のスマホの電話番号や固有番号と口座契約者を紐付けして信用担保にしてるのではないでしょうか
どちらにしろいきなり他のスマホでログインして振り込みはすんなり出来ないと思いますよ
Re: (スコア:0)
わざわざ多段階認証にしているのに、自分から穴を開いていくスタイルですね。
Re: (スコア:0)
OAuthとか実装するのは金融機関の人たちにはハードル高いだろうし、
2段階認証によくあるアプリパスワードを発行する形の方が実装しやすいと思うけどな。
情弱利用者にとっても、OAuthみたいにあっち行ってこっち行って、とかいうのはわかりにくいし、
下手するとフィッシングにかかりやすい。
公式サイトでパスワードを発行させて、それでログインしてね、の方がわかりやすい。
まぁ日本の大企業や金融機関は超保守的でアプリやサービスのUIもクソだし最低限のことしかできないし、期待はしてない。
とりあえず、モバイルアプリがどこもほぼ例外なくクソなのはなんでなんだろう。iOSで言えば、スワイプで戻る、に対応してないのが基本。
左上の戻るボタンでしか戻れないとかクソすぎる。
それから、ログインの時のパスワードをペーストできないところもいくつかある。パスワード管理アプリ使ってると詰む。
UXって何も考えてないよね。
Re:無駄 (スコア:2)
いやー、マネーフォワードは、自分のケツ毛の本数を他人に毎日数えて頂く的な快感もとい、メリットがありまして。。。
今まで食ったパンの枚数を自動で数えて貰えるって、素晴らしく無いですか?
Re: (スコア:0)
家計簿アプリとか、平文で、ネットバンク、クレジットカード、公共料金のサイトとかのID、パスワード全部入力させるところもあるからね。
もちろん流出しないようには気をつけているだろうけど、頭おかしい。
Re: (スコア:0)
保存はともかく、ユーザーが入力するのは平文でないと困るだろう・・・。
Re: (スコア:0)
任意のシード値と時間を元に算出したハッシュ値をワンタイムパスワードとして入力する場合、
平文で入力と言えるのだろうか。
銀行側に対策を (スコア:1)
銀行側にOAuthタイプのAPIの実装を促して、アプリ自体には銀行のパスワード情報渡さずにすむようにすりゃいいのに。
Re:銀行側に対策を (スコア:2)
金融審議会ではそういう方向の議論がされているようですよ。
Re: (スコア:0)
マイナンバーを筆頭に、そういうセキュアな方向へは行かないのがお約束・・
Re:銀行側に対策を (スコア:1)
銀行はちょっとわかんないですが、公務員業界の癖として
「間違ったら手で直せる」ことがすげー重視されてる気がする
結果暗号化とがでギチギチセキュアにするのは無理で、
「こうすると手で変えられます」みたいなのが必須、になるからかなーと。
確かに1億人からの情報扱えば例外も出てくるんだろうケド、
例外を入れ込んでたらシステムが仕上がらんのでね…
中途半端に取り込むのなら99.999%の自動化と手作業にしたほうがいいんかもしれん
そしたら結局セキュアとは言えないか…
情報銀行の布石だろ (スコア:1)
情報銀行の胡散臭さは半端ねーがあまりに秘密主義なんでスラドでもコメント付かないからな
東大だろうが論文404放置とかありえねーな
国が全てを把握するための布石 (スコア:0)
プライバシーとか言いながら国が全てを把握するってすげぇってかひでぇなおい
Re: (スコア:0)
そうでしょうね。
関連機関からの情報開示要求に対し、適切な(その定義は言ってない)フィルタリングがされた情報を提供できること、という要件という名のバックドアができる、と。
無論、その運用は、私が適切だと判断したから適切だ、みたいな個人のさじ加減で決まるのでしょうな。