yogurting ヨーグルティング

2020年10月08日

カブドットコムさん、まったく無意味なセキュリティ対応を始める

auカブコム証券、2要素認証を導入 出金時など
2020/9/23 20:00 日本経済新聞
インターネット証券のauカブコム証券は23日、証券口座からの出金時にスマートフォンなどを組み合わせて本人認証する「2要素認証」を12月をメドに導入すると発表した。SBI証券で顧客資金が不正に偽の銀行口座に流出した被害を受けた対応。2要素認証を求めるのはネット証券大手では珍しい。
本人認証時にスマホなどに送ったワンタイムパスワードを入力しないと先に進めない仕組み。出金先の銀行口座を登録したり、変更したりする際にも導入する。全ての口座に適用するか、選択肢として用意するかは今後議論する。パスワードをより複雑にするため、記号の入力にも9月末までに対応する。

客の使い回しパスワード悪用か SBI証券の1億円流出
2020年9月24日 朝日新聞
ネット証券最大手のSBI証券の顧客6人の口座から約9800万円が不正に引き出された問題で、同社は他の大手証券と異なり、口座にログインするIDを顧客が自由に決められるようにしていたため、狙われた可能性があることが分かった。顧客がIDやパスワードを使い回していれば、他のサイトから情報が漏れた場合でも、被害に遭う可能性がある。
SBI証券の口座で取引をするには、IDのほか、ログイン用と取引用の二つのパスワードが必要。IDは「ユーザーネーム」として、利用者が自由に設定できた。被害にあった6人は、ログインと取引で同じパスワードを使っていたという。


カブドットコムが出金時にスマートフォンを使って「2要素認証」を開始するようです
出金依頼時にスマホに送ったワンタイムパスワードがないと出金できないそうです。
でもよくよく考えたらこんなセキュリティ強化ほとんど意味ないと思うんですよね

そもそも今回、SBI証券で起きた事件は被害者がログインID・パスワードを使い回してて
そこを突かれて犯人グループは正規のログインID・パスワード一式を持ってたんだおね。
(取引や出金時に入力する暗証番号もすべて犯人が入手していた)
つまり、犯人に正規の方法でログインされてしまっている状況だから
犯人は登録してある電話番号・メールアドレスも自由に変更できるんですよね
つまり、登録したメールやスマートフォンにワンタイムパスワードをいくら送っても
犯人が先回りして電話番号とメールアドレスを変更してしまえばまったくの無意味でそ
こんなセキュリティ強化やっても今回の事件は一切防げないんだおね(´・ω・`)

これって、セキュリティ強化対応を一生懸命やってるんだぜアピールしてるだけで
実際にカブドットコムで同じことおきたら瞬殺されてクリアされるから意味ないでそ。
なによりセキュリティ対応の内容を世の中に告知しすぎてるとこがドアホですね
こんな具体的に世間に発表したら犯人に抜け穴を教えてるようなものでしょ
アピールが目的になっててセキュリティ強化にはまったく貢献してないから
正直言うと頭おかしいんじゃないかなって感じるんですよね(´・ω・`)

あるべきセキュリティ強化ってのはまず1にも2にもまずは原因の特定ですよね。
なによりも重要なことは原因の特定と、そしてその穴をふさぐこと
カブドットコムが原因を特定せずに闇雲にセキュリティ強化を自称してるだけなんで
実際に同じ状況に直面したら、なんの意味もないし、なんの効果もありません
しかも突破方法までネットで公開しちゃうとか気が狂ってるレベル(((( ;゚д゚)))

まずはSBI証券の事例を徹底的に調査して原因を特定することこそが大切なわけで
原因も特定せずに世間にセキュリティ強化アピールとか激バカでそ、これ

本当の意味で実行効果があるのはログイン時にメール等で即時に通知すること
ログイン経路とかパソコン・スマホどこからログインしたとかの詳細もね
そんで登録住所・電話番号・メールアドレス・パスワードなどの変更があったら
その都度すべてメールで送信して利用者に伝えることです。
(メールアドレス変更したときは必ず新・旧のメルアドに両方通知すること)
こういうのはよくメガバンとかネット銀行にすでにあるやつですよね
この方法ってもちろん完璧に防げるわけじゃないけどすごく意味があるんだおね。
異常があった際に即通知してくれさえすれば自分ですぐに対応できますからね。
犯人側からしたらパスワード盗んでログインしたら即検知されるってことですから

2020年09月24日
SBI証券の自称被害者、ほぼ自業自得と判明したもよう

2020年09月16日
【悲報】SBI証券さん、顧客資産9,864万円が偽口座に流出!


ss2286234570 at 06:55│Comments(2) ネット証券 | 個人情報流出

この記事へのコメント

1. Posted by あwせdrtfぎゅ   2020年10月10日 22:34
これからは、個人情報変更するときは、全て郵送申請にしないとダメかもしれませんね。
さすがに郵便局に住所変更の転送設定をしてから、個人情報変更はハードル高いでしょう。

と思ったら郵便局もe転居とかいってネットで簡単に住所変更ができますとかやってるのね。
ダメだこりゃ。

ログインIDとパスワード抜かれた時点で結構詰んでますね。

あとはマイナンバーカードを使った変更手続かなー。
カードリーダーは必要ですが、個人情報変更のために、マイナンバーカードによる認証が必要なら、マイナンバーカードを物理的に持ってないと、処理できないですから。

これならIDとパスワードが抜かれても、マイナンバーカードまで盗難にあってなければ平気です。

そう考えるとマイナンバーカード認証が一番安全な気がする。スマホ認証じゃなくて、マイナンバーカード認証にしてくれないかなー。

あとは、本人の顔認証システムなんかもありですね。あれ、認証に時間かかるけど。
2. Posted by あwせdrtfぎゅ   2020年10月10日 22:39
特に証券会社は、顧客のマイナンバー把握してるし、マイナンバーカードの保有率も証券会社の主要顧客そうでる高齢者のほうが高いから、マイナンバーカード認証との親和性が極めて高いと思うんですよねー。

個人投資家はそこそこお金持ってるから、ふるさと納税やら、確定申告やらでマイナンバーカード持ってる人多そうだし。

最悪、留守中に自宅に泥棒に入られて、IDとパスワードの書いた手帳とか、金庫を盗まれても、マイナンバーカードを財布に別に常時携帯してたから助かりましたとか。そういうの。

なっちゃんマイナンバーカードあんまり好きじゃないから気に食わないかもしれませんが。

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔