みずほダイレクトにログインしようと思ったら,なにやら怪しい画面が表示された.フィッシュられたかと思ったが,ドメインはちゃんとしてたし,EV SSLだった.
読んでみると,なにやらセキュリティ情報というものを登録しなさいといっている.しかも,登録しないと使わせてやらないよ!といっている.一応,規約を確認してみたが,「合言葉」云々の記載はあるが,「画像」云々の記載はない(魚拓へのリンク).なので,画像は何に使われるのかをよく読んでおこうと思った.どうやらヤフーなどで導入が進んでいるログインシールのようなものみたいだ.フィッシング防止ですかね.さて,進みましょう.
こんな感じで画像を選びます.下の真ん中のボタンを押すと,画像が色々と変わるので,好みの画像を探せばいいらしいです.ま.見つかりませんがw.仕方なく,適当に選びます.
続いて,「合言葉」を登録させられます.しかも,3つも.質問1~3はそれぞれ選択肢群が異なります.質問2と質問3の選択肢を掲載するのは割愛しますが.
最終的にはこうなります.画像は黒抜きしました.こうやって「画像」と「合言葉」を登録します.すると,次のようなメールが届きます.
えっと・・・.画像も保管しないとダメですか??もう既にディテールを忘れているんですが・・・.まずいッスかね?合言葉もですね.他人に知られないようにってのは難しいよねぇ・・・.選択肢は画面に表示されるわけで,「ゼミはどこだ」なんて,公知の事実だし・・・.もしかして,オレが悪い??
さて,これらはどのように使われるか,実際に試してみた.まず,自分のPCではないところからログインを試みてみた.まず,お客様番号を入れる.すると,合言葉1を訊かれる.続いて,合言葉2を訊かれて,正解すると,以下のログイン画面に至る.
ふむ.ここまで来ないと「画像」は入手できないわけだ.さて,総当たりは別として,ソーシャル的な攻撃があったとしましょう.お客様番号とその持ち主の紐付けができていて,社会的な周辺知識を十分に持った人がいたとしましょう(あくまで想定).その場合,少なくとも,オレの設定した合言葉は突破されると思う.いとも容易く.まぁ,ログインパスワードはわからないだろうから,ログインはされないと思われるが,この「画像」を入手するところまではたどり着けそうだ.さて,画像さえ入手してしまえば,模倣サイトは作れそうです.フィッシュフィッシュ!スピア攻撃(笑)ならできそうです.でも,それを言い始めたら,ヤフーのログインシールだって同じか.不特定多数を攻撃できない時点で,十分に効果がある.
というわけで,みずほのログインが面倒になったかもしれません.オンラインバンクって,そんなに色々と対策をしないといけないものなんだろうか.ちょっと疑問.