みずほダイレクトがセキュリティ強化

|
Clip to Evernote みずほダイレクトがセキュリティ強化

みずほダイレクトにログインしようと思ったら,なにやら怪しい画面が表示された.フィッシュられたかと思ったが,ドメインはちゃんとしてたし,EV SSLだった.

080715_mizuho01.png

読んでみると,なにやらセキュリティ情報というものを登録しなさいといっている.しかも,登録しないと使わせてやらないよ!といっている.一応,規約を確認してみたが,「合言葉」云々の記載はあるが,「画像」云々の記載はない(魚拓へのリンク).なので,画像は何に使われるのかをよく読んでおこうと思った.どうやらヤフーなどで導入が進んでいるログインシールのようなものみたいだ.フィッシング防止ですかね.さて,進みましょう.

080715_mizuho02.png

こんな感じで画像を選びます.下の真ん中のボタンを押すと,画像が色々と変わるので,好みの画像を探せばいいらしいです.ま.見つかりませんがw.仕方なく,適当に選びます.

080715_mizuho03.png

続いて,「合言葉」を登録させられます.しかも,3つも.質問1~3はそれぞれ選択肢群が異なります.質問2と質問3の選択肢を掲載するのは割愛しますが.

080715_mizuho06.png

最終的にはこうなります.画像は黒抜きしました.こうやって「画像」と「合言葉」を登録します.すると,次のようなメールが届きます.

080715_mizuho07.png

えっと・・・.画像も保管しないとダメですか??もう既にディテールを忘れているんですが・・・.まずいッスかね?合言葉もですね.他人に知られないようにってのは難しいよねぇ・・・.選択肢は画面に表示されるわけで,「ゼミはどこだ」なんて,公知の事実だし・・・.もしかして,オレが悪い??

さて,これらはどのように使われるか,実際に試してみた.まず,自分のPCではないところからログインを試みてみた.まず,お客様番号を入れる.すると,合言葉1を訊かれる.続いて,合言葉2を訊かれて,正解すると,以下のログイン画面に至る.

080715_mizuho08.png

ふむ.ここまで来ないと「画像」は入手できないわけだ.さて,総当たりは別として,ソーシャル的な攻撃があったとしましょう.お客様番号とその持ち主の紐付けができていて,社会的な周辺知識を十分に持った人がいたとしましょう(あくまで想定).その場合,少なくとも,オレの設定した合言葉は突破されると思う.いとも容易く.まぁ,ログインパスワードはわからないだろうから,ログインはされないと思われるが,この「画像」を入手するところまではたどり着けそうだ.さて,画像さえ入手してしまえば,模倣サイトは作れそうです.フィッシュフィッシュ!スピア攻撃(笑)ならできそうです.でも,それを言い始めたら,ヤフーのログインシールだって同じか.不特定多数を攻撃できない時点で,十分に効果がある.

というわけで,みずほのログインが面倒になったかもしれません.オンラインバンクって,そんなに色々と対策をしないといけないものなんだろうか.ちょっと疑問.

プロフィール

e-m@il @ddress