■SBI証券は最悪な新ログイン方法を、いますぐ中止してください

SBI証券は数日前にログイン方法（端末認証手順）を変更しましたが、とてもひどいものでした。

新しいSBI証券のwebサイトでID/パスワードを入力してログインボタンを押すと、突然40秒のカウントダウンタイマーと毎秒短くなっていく進捗バーが表示され、タイムアタックが開始されます。制限時間内に受信メールにかかれているURLをクリックし、難しい確認同意をした上で、確認コードの入力をして２回ボタンを押す事が強要されます。

新しい端末での初回ログインでは、必ずこの複雑な端末認証が必要となりました。

端末認証方法の詳細は後半に記載します。正しい制限時間は40秒x5回となりますが、40秒と誤認する方が多いと思います。またメール受信にかかる時間を考慮すると数分では全く足りないでしょう。

この端末認証方法では、してはダメとされている事を２つもユーザーに強要しています。SBI証券は急いでこの方法を中止して元に戻してください。対応が遅くなればなるほど、多くのユーザに誤った知識を学ばせる事になります。

１つは、「メールのURLをクリックしてはだめ。もしもクリックしても、その先の画面で重要情報の入力をするのは絶対だめ」なのにメール内URLをクリックさせて認証コードを入力させる行為。

もう１つは、「急かしてくるような行為は詐欺が多いので、ゆっくり考えて判断しましょう」が一般常識なのに、ユーザーをカウントタイマーで急かしながら複雑な操作を要求する行為。

この２つはフィッシングや詐欺被害を減らすために、様々な方たちが努力してユーザに啓蒙してきた事です。そのおかげで詐欺の件数もある程度抑えられていたと想定できます。なのにSBI証券のような大手金融機関が率先してルール違反を強要するのはありえません。せっかくのこれまでの努力が水の泡です。

セキュリティの啓蒙活動のおかげで意識が高まって詐欺を防げていた事例ってたくさんあると思います。例えば、30分以内に申し込まないといけない高額投資案件ってちょっと変だからやめておこうとか。クレジットカードの期限切れ警告メールは気になるけど、メールのURLではなくクレジットカード会社のトップページからアクセスして確認しようとか。

今後は、「証券会社でもカウントダウンタイマーに急かされながらURLクリックさせられたし、この奇妙なWEB申込み画面も問題なさそう」と油断して騙されるユーザーが出てきてもおかしくありません。

SBI証券としては、パスキーなどを導入するまでの一時的なつなぎのつもりらしいですが、数カ月間だとしても大手金融機関が不適切な手法を強要する悪影響は計り知れません。自社の影響力をもっと考えてください。

自社の利益を追求するのも結構ですが、それは公共の利益が損なわれない範囲でお願いします。

今回ユーザーから批判が出たためSBI証券ではカウントダウンタイマーを40秒から60秒に延長する改善をしたようですが、本質的な問題は解決していません。

緊急で端末認証方法を以前の方法に戻して、その上で今後の方針を再検討してください。今回の方法以外に許容できる選択肢がなかったのか甚だ疑問です。

---------------------------------------------

ここから下は、実際にSBI証券での端末認証手順について詳細を書いておきます。

新しい端末でID/パスでログインしようとするとデバイス認証が求められる。

これは端末を事前登録してセキュリティを高めるためのシステムで、この事自体は全く問題ありません。

Eメールを送信する

ボタンが表示されているのでメール送信ボタンを押します。

急に40秒のカウントダウンが始まる

40,39,38,37という数字のカウントダウンと共に、横長の進捗バーがどんどん短くなっていき、あせらされます。

メール内URLのクリックを求められる

届いたメールを見ると長いURLが書かれていてそれをクリックして開くことを求められます。

ちなみに、SBI証券からは、以前にール内のURLをクリックしてIDやパスワードを入力してはいけないと通知が来ていました。

でもクリックしてみるしかありません。カウントダウンが継続していて急がされているので、ユーザーにはゆっくり考えている暇は与えられません。

クリックした先には謎の同意画面

URLをクリックした画面には「ユーザーネームやログインパスワードを入力したログイン画面は、メールやSMSなどから開いていませんか？」という赤字の画面が出ます。

そこで「ログイン画面はメールやSMSからは開いていません」を選択すると、認証コードを入力できるようになります。

カウントダウンが進んでいるので焦りながら、最初のパスワードを入力した画面はブックマークから開いていて、今は確認コードを入力する画面なので違うよなと判断する必要があります。

そして、このメールから開いた画面に確認コードを入力する必要があります。

コードの時間切れで入力し直し

メールの送信から、この確認コード入力完了までが40秒です。メール受信ラグまで考えると運が良くないと40秒では無理です。

多くの場合、一度は確認コードが時間切れとなり、新しく発行されたコードを入力してやっと認証ボタンを押すこととなります。認証ボタンを無事押せてとなるでしょう。

最後に認証完了をクリック

最初のログイン画面で「認証コードを入力し、認証が完了したことを確認しました。」にチェックを入れて「デバイスを登録する」ボタンを押して完了です。

ここまでに160秒以内に完了できなければ最初からやりなおしです。

（認証コード5回まで表示可能なので40秒x5回で200秒の猶予しかありません）

SBIの対応は、猶予秒数の僅かな延長のみ。

批判が出た事もあってか、8月15日に制限時間が40秒から60秒に延長されました。全体猶予はその5回分で200秒から300秒に延びました。

メール受信の時間や様々な操作を含めて、この制限時間です。5分では間に合わない事も多々あるんじゃないかなと想定されます。

---------

最後に、フィッシングへの対応について個人的な意見を1つだけ書かせてください

パスワード管理ツール(bitwardenや1pasword)の利用をもっと推奨すべき

サイトが正しい事をユーザーの目視で確認しましょうってなっていますが、現実的に無理です。正しいURLもややこしくて、SBI銀行がnetbk.co.jpで、ゆうちょがjapanpost.jpなどなど、そんなの面倒で覚えていられません。URLを目視で正確に判定するのは不可能です。似たようなドメインにユーザーが騙されるのは仕方ないと思います、

ドメイン確認を自動でしてくれて、パスワードを安全に管理して自動入力してくれるパスワード管理ツールなしで日々安全にサイトを利用するのは不可能だと思います。

それなのに、金融機関もマスコミもパスワード管理ツールの案内を全くしないのが不思議です。

下記のような条件を満たしたパスワード管理ツールをみんなが使うべきだと思います。現実的には無料ならbitwarden有料なら1passwordが第一選択になります。

• 初回は、ランダムで十分長いパスワードを自動生成してくれる
• 次回からは、サイトのドメインを自動認識して自動的にパスワードが入力される。
• メンテナンスが長期間されていて、スマホやpasskeyにも対応している

Permalink | 記事への反応(7) | 15:56

ツイートシェア