昨今ではスマートフォンやPCから利用でき、オンラインバンキングなどと連動できる家計簿アプリが登場しているが、こういったアプリの提供者を登録制にする方針を金融庁が示している(日経新聞、NHK)。
昨今の家計簿アプリではあらかじめネットバンキングやクレジットカードのネットサービスのアカウントを登録しておくことで、クレジットカードの利用履歴や銀行口座の取引履歴などを自動的に家計簿に取り込んで管理できる機能があるが、これらアカウント情報自体や関連する個人情報の流出などを危惧しているようだ。
具体的には財務内容が一定の要件を満たしているかや、個人情報保護体制が十分かどうかを国が確認するとしている。
東京都福祉保健局 薬事監視担当課やPMDAような団体になってほしい (スコア:2)
いわゆるWELQ問題で早く動いた(初動まではおそかったが、通報受けてからはめちゃ早い)ような
まともな規制団体であれば良いと思います。
#官僚の天下り先でもいいけど、ちゃんと守られるべき人が守られれば良いと最近は思うようにしている。
(「日本ユニセフ協会」と国連のユニセフ(国際連合児童基金)どちらでもたとえピンハネされても、
必要な資金が必要なところに行くのならそれはそれで良い)
Re:東京都福祉保健局 薬事監視担当課やPMDAような団体になってほしい (スコア:1)
金融庁がいわゆる中間的業者に登録制を導入し、(おそらく財務局を通じて)規制・監督を行うという話なのですが、どの団体のことをおっしゃっているのでしょうか?何か新しい団体を組織する話だと勘違いしてませんか?
Re: (スコア:0)
もちろん金融庁、はては行政組織全般でしょう。
Re:東京都福祉保健局 薬事監視担当課やPMDAような団体になってほしい (スコア:1)
国の行政組織が官僚の天下り先になることはあり得ないでしょう。
(そもそも東京都福祉保健局健康安全部薬務課やPMDAとは規制の仕組みも監督のあり方も全然違うのに、「ような」というのは何だろう。)
Re: (スコア:0)
官僚の天下り先云々は#コメントなので本題では無いでしょう。
であればタイトル~思いますまでは規制を行う組織全般を指すのではないかな。
まさか登録だけして何も行わないのが理想の登録制だなんて思ってないよね?
Re: (スコア:0)
監督官庁との間で調整を行う業界団体はできるよね。
そして、そこには企業代表として天下りもあるだろう。
Re:東京都福祉保健局 薬事監視担当課やPMDAような団体になってほしい (スコア:1)
何らかの業界団体はおそらくできるでしょうけれど、業界団体を作って業界団体に規制させよう、という話ではないですよ。
Re: (スコア:0)
>必要な資金が必要なところに行くのならそれはそれで良い)
「一部」がA豪邸へ行けばいいだけですからね。
無駄 (スコア:1)
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
Re:無駄 (スコア:2)
ですよねー…。
ReadOnlyのトークン 的なものだったらまだしも、
お金関係で 全アクセス可能なパス とか、
セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
Re:無駄 (スコア:1)
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...
ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:2)
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.91791510399 と、90パーセント以上の確率で何れかのアカウントでの不正送金が成功してしまいます。
(実際には、時刻ベースのワンタイムパスワードは30秒更新なことが多いため、同一のアカウントに対しては完全な乱数ではなく過去の試行とは別の数字にし、30秒以内に新しい数字を試すことで、更に確率を高められます)
なお、多段階認証の一環として、普段と違う環境(ISP、Cookie、UserAgentなどで判定)からのログインの際に追加認証として秘密の質問への回答を要求する金融機関も増えてきていますが、家計簿Webアプリもそれらの情報の登録を要求しているため、一緒に漏えいすれば同じことです。
# みずほ銀行は、残高照会・入出金明細照会等専用のアカウントを、普通のインターネットバンキングのアカウントとは別に発行できる [mizuhobank.co.jp] るので、家計簿アプリも安全に使用できます。トランザクション認証への対応と、Webサイト全体の常時HTTPS(TLS)化もしていることから、邦銀の中では最高レベルのセキュリティだと思います。
Re: (スコア:0)
みずほに限定しなくても他行でも、機能限定のオンラインバンキングサービスは昔からやってますよ。
SMBC とかだとこちら [smbc.co.jp]
セキュリティやオンライン関連に関して、みずほは1年から2年出遅れてることが多いんですけどね。
Re: (スコア:0)
三井住友は、トランザクション認証対応してないし、
インターネットバンキングのパスワードも8文字まで(数年前までは数字4桁)と最低だった
法人向けは画像読み取り装置付きトランザクション認証が当たり前になってきたけど
一般個人向けでトークン型のトランザクション認証やってるのは今でもみずほだけ
過去はどうあれ、今はセキュリティで選ぶなら、メガバンクではみずほに一択
ネット専業を入れるなら住信のスマホアプリで取引承認する仕組みももなかなか良い
Re: (スコア:0)
みずほ銀行でも流出件数が多けりゃ不正送金できる率上がるから同じよ
全件アタックされて数件しか不正送金成功しないなら十分
パスワードの桁数なんかよりも、アタックされてることを検出できる体制にしているか、検出されたときどうするかの方が重要
今の銀行はセキュリティ名目でユーザーに不便を強いる方向にしか動いてなく、実際のセキュリティ意識は残念ながらどこも低いと思う
Re:無駄 (スコア:1)
スマホのアプリから振り込んだら、パスワードいらんかったです。
Re: (スコア:0)
わざわざ多段階認証にしているのに、自分から穴を開いていくスタイルですね。
Re: (スコア:0)
OAuthとか実装するのは金融機関の人たちにはハードル高いだろうし、
2段階認証によくあるアプリパスワードを発行する形の方が実装しやすいと思うけどな。
情弱利用者にとっても、OAuthみたいにあっち行ってこっち行って、とかいうのはわかりにくいし、
下手するとフィッシングにかかりやすい。
公式サイトでパスワードを発行させて、それでログインしてね、の方がわかりやすい。
まぁ日本の大企業や金融機関は超保守的でアプリやサービスのUIもクソだし最低限のことしかできないし、期待はしてない。
とりあえず、モバイルアプリがどこもほぼ例外なくクソなのはなんでなんだろう。iOSで言えば、スワイプで戻る、に対応してないのが基本。
左上の戻るボタンでしか戻れないとかクソすぎる。
それから、ログインの時のパスワードをペーストできないところもいくつかある。パスワード管理アプリ使ってると詰む。
UXって何も考えてないよね。
Re: (スコア:0)
家計簿アプリとか、平文で、ネットバンク、クレジットカード、公共料金のサイトとかのID、パスワード全部入力させるところもあるからね。
もちろん流出しないようには気をつけているだろうけど、頭おかしい。
Re: (スコア:0)
保存はともかく、ユーザーが入力するのは平文でないと困るだろう・・・。
情報銀行の布石だろ (スコア:1)
情報銀行の胡散臭さは半端ねーがあまりに秘密主義なんでスラドでもコメント付かないからな
東大だろうが論文404放置とかありえねーな
銀行側に対策を (スコア:0)
銀行側にOAuthタイプのAPIの実装を促して、アプリ自体には銀行のパスワード情報渡さずにすむようにすりゃいいのに。
Re:銀行側に対策を (スコア:2)
金融審議会ではそういう方向の議論がされているようですよ。