すべてのカテゴリ » マネー » 家計・貯金 » 預貯金

質問

終了

三菱東京UFJダイレクトのログインパスワードの記号必須への変更およびセキュリティの無い運用や意味の無い運用に対する疑問

従来、三菱東京UFJダイレクトのログインパスワードは記号無しの英文字と数字の組み合わせで行けました。
ところが、先般の変更で新たに設定する場合は記号が必須となってしまい、私の登録する限りでは、記号を必須とする金融機関や証券会社が無く、他の金融機関や証券会社との関係で、非常に不便になってしまいました。

果たしてこの意味・メリットはあるのか?

否、不便になるだけでほとんど無いと思います。

確かに単純過ぎるパスワードを設定する預金者に対してはセキュリティ性が高まるということはあります。
しかし、セキュリティホールでよく言われる「記号を含まない英文字と数字のみの設定は存在しません」と除外している訳で、組み合わせが少なくなるという意味でセキュリティは落ちることになります。

片や「従来から記号を含まない物を用いている預金者についてはそのまま変更無しで利用出来る」としています。
しかしながら、これも片手落ちのサービスです。
私は煩雑になるために変えたくは無かったのですが、今回の三菱東京UFJダイレクトの変更の案内が悪かったために「変えないとログイン出来ない」という認識をしてしまい、うかつに再設定を行って、従来のパスワードが使いえない状態になってしまったのです。
これは、単にそういう場合に使えなくなるだけで無く、たとえば変えたくも無いのにうっかり大文字小文字の設定が変わっているのに気付かないで「3回」間違えると、従来のパスワードが無効になって再設定が必要になり、従来のパスワードに戻すことが出来なくなるのです。
これでは「従来からのパスワードが使える」という意味が全くと言っていいほどありません。
「うっかりしていると結局使えなくなっている」とかで、いずれは不便になる可能性を秘めている訳です。

そういった中、賢明な方ならおわかりかと思いますが、これらに絡んで、三菱東京UFJダイレクトの運用には結構セキュリティを落としている面があります。
(詳しくは書きませんが・・・)

せっかく「契約番号」とうう口座番号とは他人が知りえない別の番号を使うということで、セキュリティをアップさせているにもかかわらずです・・・

そもそも、この契約者番号がパスワード的機能を為すために、その他の金融機関や証券会社の運用に無い様なまでの「ログインパスワードに記号を必須とする」ということまで行うことはさして必要性が無く、むしろ利便性を損なうのみになるのです。

こういったことより、その切実な訴えを行ったのですが、全く端にも棒にもかからないお役所ぶりには呆れてしまいます。

その他、三菱東京UFJ銀行には「口座開設時に免許証等以外に住所を確認出来る書類の原本を必要とする」という運用を取っています。
これは、既に口座を所有している預金者が追加で別支店の口座を開設する場合にも必須であり、極めて無駄で煩雑な運用です。
一見、別の住所を示す書類を必要とするので、より本人確認が優れていると思われがちですが、そうではありません。
悪用しようとする企てに対しては、実質的にはほとんど意味がありません。
たとえば、水道料金の領収書の類になると、これらは非常にローカルな物であり、たとえ捏造されたとしても行員側にはその真偽はほぼ判断出来ないからです。
真にその真偽を確認するというのであれば、相当なる手間隙がかかるはずで、恐らくそれはやられていないでしょうから、はっきり言って単に「取り組んでいます」というフリをしているに過ぎないということです。

少なくとも、特に従来から口座を持つ預金者に対しては、こんな意味の無い無駄な運用は即刻止め、別の有効な個人特定方法を導入すべきだと思います。

こういった中身の無い運用を常識とする三菱東京UFJ銀行。

さて、皆さんはどうお思いになりますでしょうか?

  • 質問者:ダメ菱東京UFJ銀行
  • 質問日時:2009-02-02 14:26:39
  • 1

回答してくれたみんなへのお礼

なかなか数多くのご回答をいただける質問では無いかもしれませんでしたが、かなり核心に迫るようなご回答もいただけた様な気がします。

もっとも、ご説明をいただいても、「記号必須」という運用は、実施側の「単にやっていれば評価される」とかいった言い訳にしか見えません。

同行の運用から見ると、再設定を容易にし過ぎたがゆえにそうなってしまった様な気もしますが、そもそもそうであるとすると本末転倒な運用である様な気がします。

再設定が容易であれば、いかに記号を付加しようとも、最初から悪用者に対して、任意のパスワードを認めている様なものですから。

少しだけ、この銀行専用プログラミングの業務に携わっています。
(少しだけと書いたのは、、、、、、訴訟が嫌だから;)

実際のところ、質問者さんの質問は的を射ています。
我々、プログラム管理者もプログラマーもシステムエンジニアも分かっています。

問題点があるからこうなっています。
「旧体制との互換性」です。

他の大手都市銀行に漏れず、我が銀行でも、統合を繰り返しました。
つまり、全く違ったシステムを、何とかくっつけています。
上層部の仲違い、派閥争いは、退職してくれれるまで待てばいいのですが、システム上の統合は、人間関係以上に複雑です。
しかも失敗は許されません。

その理由から、苦肉の策として、セキュリティレベルは下がる可能性はあるけれど、統合に向けて進むとなりました。

いい情報としては、統合する再に下がりますが、統合がうまく行けば、そこからあげることは出来ます。

たとえで言えば、堅い城の守りでありながら、我が方に寝返った敵方を場内に入れるために、城の門を開けるようなものです。その間はセキュリティは下がります。また、閉めてしまいます。

しかし、現在のセキュリティで、心配は無いレベルです。世界トップレベルのクラッカー(ハッカーの正式名称)でも破れません。

数日から数週間は要するので、その間につかまります。
まぁ、現状はそんなところです。

更に質問があれば、匿名で、法に触れない範囲で答えましょう。

===補足===
「互換性で記号が必須」というのは、このパスワード業界では常識になりつつあります。

有体に言えば、これまでの文字数だけでは、破られるまでの時間が短くなってきているのです。パソコンの処理能力の向上スピードは、我々の作るシステムの向上スピードを上回っています。

更に厳密に言うと、記号のコードは、各国共通ではありません。
身近では、円記号がバックススラッシュと被っていたり、被っていなかったりします。
そこで、クラッカーにとって、記号は、英数字よりも、厄介な代物なのです。

せめてものセキュリティ向上のために記号を入れています。
今後、どのセキュリティシステムでも記号が必須になります。なぜならば、パソコンの暗号解読能力が追いつきつつあるからです。

10年前は100年掛かるといわれた暗号解読が今は1秒以下ですからね。
一方、それに伴って、お客さんに30桁以上の暗号を入れてくださいとは、お願いできません。人間の暗記能力に限界があります。

それらいろいろなジレンマです。更に質問があればどうぞ。

  • 回答者:本当にダメだけど・・仕方ない (質問から7日後)
  • 2
この回答の満足度
  
とても参考になり、非常に満足しました。回答ありがとうございました。
お礼コメント

ご回答ありがとうございます。

何と無くわかる様な気がします。
ただ、「互換性で記号が必須」というのはよくわかりませんね。
従来のままパスワードを間違えなければそのまま行けるのですから。

しかも、間違えたら最後、自分でも、その他たとえば他人がお客様コードを入手して3回処理した場合でも使えなくなる。
結局、うっかりしていると「使えると言いながら使えない」ということがおかしいのではないかと言いたいのです。

その結果>便宜を図っている様で、実は全く便宜を図っていない。

そこまでこだわりながら、この再設定の運用の容易性はかなりセキュリティを下げていると思います。
せっかく、他人に知られることの無い口座番号と無関係なお客様コードを使用しているにもかかわらず、そのカードをスキミング時点でかなりヤバくなります。

近隣の人間が本人の名前、そして暗証番号を何らか推測確定されたら終わりというシステムです。

人為的な本人確認も何も無い手順を踏んで考えてみると、この様にノーセキュリティな金融機関は他には例を見ないと思います。

これで乗っ取られて送金処理でもされてしまった場合、いかなる場合も確実にフォロー出来るのか?

「ご契約カードの管理不行き届き」と言えるかもしれ線が、そういう落とし穴を容易に作ってしまっているのは三菱東京UFJ銀行の運用その物なのではないか?

「記号を追加したのはセキュリティゆえ」と言う割には、全く逆行しているとしか言えないのではないか?

それならば、むしろその再設定フローを変更してバリアを高くし、記号などの必須を止めて、限定的に認めている「記号無しの従来通り」というフォーマットを認めてくれた方がなんぼかマシではないか?

ということですね。

補足
「ジレンマ」が意味ありげですが、使い勝手を無視してまで無条件の闇雲に「記号追加が必須」であるとは思えません。

まず、それほど問題であれば、セキュリティカードやトークンを用いているが記号追加無しのログインの運用を行っている金融機関、セキュリティカードやトークンを用いてもいない上に記号追加無しのログインの運用を行っている証券会社の間で既に問題となって変更の方向が出そうなものですが、私の知る限りではそういう方向は見られません。

回答制限2回につき、続編を立ち上げてみました。
http://sooda.jp/qa/101700

並び替え:

当該バンクは使ってないので判りませんが、私なら解約して他行に移しますね。
記号を必須で入れる時点で同じ桁数ならパスワード組み合わせが数段少なくなり
セキュリティが落ちます。またキーロガー等には効果がありません。
私の使ってるところは振込み毎に通知メールで即時対応がとれたり長期間
パスワード変更しないとアラームがきたり、ソフトキーボードでキーロガー防止
などしています。
また野村證券では2年前からワンタイムパスワードになってます。
(ちょっと面倒でアクセス回数が減りましたけど)

  • 回答者:匿名希望 (質問から19分後)
  • 0
この回答の満足度
  
参考になり、満足しました。回答ありがとうございました。
お礼コメント

ご回答ありがとうございます。
さすがに大手で同行間のの振込みが手数料無料ですから廃止出来ません・・・

パスワードの制限を入れる時点でセキュリティが下がるということが理解出来ていないのですから、セキュリティ意識が低いと言えましょう。
グローバルで見れば「物笑い」だという認識を持ってもらいたいものです。

本質的なことを何も考えていないがゆえに、本文中にも書きましたが、条件が揃うといとも容易にセキュリティが崩れるシステム運用になっているのだと思いますが、何時間もかけてそれを説明しても、何ら理解されず、もちろんリアクションが無いのも呆れてしまいます。

何も考えていないから何が起こっているかもわからず、これほどまでに統合しないとやっていけないほどになったのでしょう。

本質を何もわかっていない烏合の衆、無能の集団なんでしょうね。(苦笑

関連する質問・相談

Sooda!からのお知らせ

一覧を見る