ドコモ口座や銀行口座で何が起こっているのか#3

前回のあらすじ

銀行口座でもドコモ口座との結びつけのときには本人確認はされず、二段階認証がなかった。

また、リバースブルートフォースアタックの疑いもいまだ問題提起されている状態だった。

銀行のシステム利用に関するセキュリティ認識について疑いがあることを述べた。

しかし最後に、利用者側の問題に触れなければならない。

自分や家族の身を守るのは、自身であることを改めて考えたい。

利用者に否があるのかないのか

重要なことは否はない。サービスを使う以上、企業側にセキュリティを確保する責任はあるし、今回の事件に関してはドコモ側に否があるのは明らかだった。

ただ、否がないからといって100%被害に遭わないというわけでもない。利用者側の弱点を考える必要がある。

弱い暗証番号は絶対に設定しないこと

4桁の番号、たった1万通りの組合せといえども使われやすい、使われにくい4桁がある。使われやすいほど不正利用に狙われやすいので、そこは避けること。

  • 日付を四桁にした0101~1231の366通り
  • 0000,1111...9999などのゾロ目
  • 1234,2345...などの連番

なんと研究された方がいるので、参考にされたい。この研究元は、RockYouという2009年に大量流出したパスワードをもとにされており、皮肉にも信憑性は高いと言える(語呂合わせなどは欧米的な傾向があると思われるが、それ以外は普遍性があるだろうと推測できる)。

【ドコモ口座】4ケタパスワードの分布と傾向 - Togetter

二要素認証が可能なら必ず利用すること

二要素認証は、2つ以上の要素をもとに認証をする、ということだ。代表的な要素は以下のとおり。

  • 知的要素
  • 所有要素
  • 生体要素

多要素認証とは?二要素認証・二段階認証との違いを解説 | お役立ちブログ | 情報セキュリティ対策に関するお役立ち情報 | 企業の情報セキュリティ対策・ITシステム運用のJBS JBサービス株式会社 JBサービス株式会社

パスワードや暗証番号が知的要素である。それに対し、銀行でよく使われている要素はスマホや乱数表、ワンタイムパスワードトークンなどを利用した所有要素の認証になる。

所有者は基本的に1人なので、その2つが組み合わさればまず本人と確認できる、ということである。

ただし、どれにも弱点はあるので、注意すること。例えば、知的要素は推測可能であること。所有要素は盗難リスク、紛失リスクがあること。生体要素は、欠損時のリスク、知らぬ間に生体自体を盗難されることがある(生体の盗難とはこれいかに、と思えるが、実際夫の指紋認証付きスマホを睡眠中に解錠する、などという話は枚挙にいとまがない)。

2つ以上組み合わせることに意味がある。1つでも漏れた場合には、いずれの要素も再発行するなどして見直す事が重要だ。

セキュリティを確保されていない銀行から企業からは手を引くこと

ところで、ワンタイムパスワードトークンなどが提供されていない、などの場合にはどうするべきか?

単純である。銀行からお金の住処を替えよう。

どの銀行、企業にもリスクを潜在的に抱えている。セキュリティを謳う企業が必ずしも安全というわけではない。信用できる認証手段を提供しているか、最新の技術に投資しているか、などを考えて、適宜住み替えを考えるべきだ。

金の切れ目が縁の切れ目ならぬ、セキュリティの切れ目が金の切れ目である。

家族にも注意喚起をすること

自分が大丈夫!と思っていても、家族が気をつけないとそこからバレている、ということは往々にしてある。

ただ、これは結構難しい問題で財産を家族と共有していることの利便性を享受するため、パスワードを共有するなどということもあるだろう。

年をとった人にはセキュリティの重要性をなかなか理解してもらえないかもしれない。その理解をしてもらう説明に努めよう。

また、財産の共有は、なるべくリスクを分散化するなどして口座をちゃんと分けるとか、何か遭ったときの情報の共有の仕方などを考えておくといいかもしれない。

私見だが、金融機関にはこの辺のサービスを提供してほしい、と思う。つまり、一定範囲の家族に対して、予め申請するなどしておくことで、家族に不幸があったと証明できるとき(死亡届など)、一定範囲でそのサービスを開放するなど(月10万円なら引き落とせるようにするなど)、だ。

大黒柱の家族の口座からお金を引き落とせなくなる、というのは辛い。予め生前の人間の同意を経て、そういうサービスを提供してほしい、と思っている。

定期的な資産状況の確認をすること

結局のところ、定期的な点検が必要だ。どんなにセキュリティが甘くとも、逆に、厳しくしても、不正利用のリスクはゼロにはならない。

不正利用されたtときの出口戦略を考えておく必要がある。

その第一歩が「被害を把握すること」だ。銀行ならば、不審な引き落としがないか、クレジットカードなら不審な利用形跡がないか、だ。

それを把握し、記録しておくこと(スマホで写真を取るでもいい)。それを速やかに銀行などに申し出ること。申し出た事実を記録しておくこと。

最初はあしらわれるかもしれないが、ちゃんと申し出たという事実を残しておけば、後々補償を行うと銀行や企業が態度を改めたときに有利に働く可能性が高い。

ドコモ口座の件も、当初はドコモと銀行のどちらの窓口も責任のなすりつけ合いだった、などというツイートも見かけた。あしらわれたからといって、自分に否がないならば諦めずに対処を取ることが重要だ。

結論

自己防衛は、まず気づくことからだ。自分の身を守るために何が必要なのか考えて実行すること。

例えば賃貸をする条件に、家に鍵をつけることが当たり前だったり、人によってはマンションの玄関自体が施錠されているかを選ぶ人もいるだろう。銀行口座も同様で「ちゃんとセキュリティがしっかりしているか」を考える必要があるということを示した。

今回の事件で、銀行も企業も動くことになり、環境は変わるのは間違いない。むしろ、変わらない銀行に口座を開いているなら、すぐに引き上げたほうが身のためである。

コメント

コメントを投稿

このブログの人気の投稿

リモートワークをLogicoolのマウスとキーボードで複数PC切り替えて優勝した

イメージ
デバイス多すぎるんやが問題 仕事上シンクライアントPCを支給されているのだけれども、当然キーボードとマウスが増えるのでとても面倒くさい。 シンクライアントPCはノートPCなのでノートのキーボード使えやって話でもあるけど、使いにくいでしょ? ということで、自前のをつないでいるんだけれど、メインPCでも調べごとしながらしているとなかなか作業場が厄介になる。 メインで使っているのはMXREGOじゃない 上図のマウス1に当たる部分はLogicoolのMX REGOというトラックボールマウスである 「そういえばこれPC2台接続できるじゃない? ということで、ついでにキーボードも切り替えできるものとしてK375sを購入した Logicool K375s Multi-Device Wireless Keyboard & Stand Combo 構成 問題点 シンクライアントPCにLogicoolのソフト入れられない シンクライアントPCなのでLogicoolのPCにUnifyingソフトウェアを入れることができない。 つまり設定することができない つまり詰んだ? ぴえん🥺 解決法 「聞こえますか…UnifyingはBIOSで認識できるのです...」 アラサーおじさんが泣いていると直接脳内に声が聞こえました。 アメージング! Unifyingレシーバーは直接デバイスとペアリングしているのです! ここらへんの仕様を調べたのですが、Logicoolのホワイトペーパーとかも見当たらないし、今ひとつつかめないんですよね。 同じような無線仕様のBluetoothはアプリケーションレベルで解決してるっぽい?のですが、Unifyingはハードウェアレベルで解決してるようですね。 話はそれましたが、解決法はこうです。 メインPCに2つ目のレシーバーを挿す 通常どおりペアリングする そのレシーバーを外しメインPCには元のレシーバーを挿す シンクラPCに2つ目のレシーバーを挿す これで解決できました。レシーバー上にペアリング情報が残るのですね。なので、こういった他PCでペアリングして指し直して使うという取り回しができるようですね。 リモートワークも一組のキーボードとマウスですむようになった
続きを読む

VBAでのInterfaceやキャスト

前段 個人的に、Excel VBAを仕事で組む機会がある。 自由に組んでいるので、いろいろと設計方法、実装方法を考える。 VBAのインターフェース VBAにはJavaでいうextendsのような継承はない。 Interfaceがあるので、ポリモーフィズムを実現するときは、これを使うのが一つの方法論だ。 ただ、インターフェースは、というか、VBAはクラスのキャストができない。 インターフェイス自体が、そうする性質のものではないのだが、つい欲しくなるときがある。 Object型 さて、話は変わるが、VBAには、Object型というものがある。 平たく言うと、あらゆるクラスに適する型である。あらゆるクラスのスーパークラスと思うと話が早い。 そして、Objcet型からは元のクラスで実装したプロシージャを呼ぶことができる。ObjectによるポリモーフィズムもVBAでは可能、といえる。 なので、ダウンキャストを実現するために、インターフェイスでインスタンスが自己をObjectで出力するためのメソッドを定義してあげることで、スーパークラスからサブクラスへのキャストを実現する。 実装例 Class InterfaceClass '' プロパティ Public porp as String  '' イミディエイトウィンドウに出力する Public Sub printOut() As String End Sub '' 自己をObject型で出力する Public Function Object() As Object End Function Class ImplementClass '' InterfaceClassを実装する Implements InterfaceClass '' スーパークラスのGet,Letのため、 '' 値を保持しておくためのプロパティ Private prop As String '' Getter Public Property Get InterfaceClass_prop() As String InterfaceClass_prop = prop End Property
続きを読む

SUPERHOTがいかにSUPERHOTか語りたい

イメージ
注意 ただの感想の垂れ流しです 全世界が驚愕した待望したゲーム性 SUPER HOT は、今までで3作でている。 SUPER HOT (以下SUPERHOT) SUPER HOT VR(以下VR) SUPER HOT : MIND CONTROL DELETE(以下DELETE) SUPERHOTは2013年にKickStarterでクラウンドファンディングされて、見事成立させできたゲームだ。 このゲーム性は、シンプルかつ非常に魅力的なものだった。 「自分が動いている間だけ時間が進む。自分が動かなければ(ほとんど)すべてが止まる」 映画MATRIXの有名な場面のように 弾丸が止まって見える を体現したゲームだったのだ。 死角から弾丸が発射されても、軌道を見てから紙一重で避けて、反撃する。そんな映画みたいな演出を実体験できる。 ブラウザでできるプロトタイプからそれが実現できていた。 プロトタイプを再生する-SUPERHOT クラウンドファンディングが成功して当然のゲームなのだ。 質実剛健なグラフィック SUPERHOTが発売されたものは、グラフィック自体は特に凝っているわけではなかった。すべて3Dグラフィックだが、ポリゴンチックで2013年当時でもきめ細かいグラフィックとは言えない。 ただ、その表現が非常にゲームとしてシンプルかつ機能美を追求したものだった。 敵は赤色 武器は黒色 ステージなどその他は白色 直感的でゲームを理解できる。そして、敵キャラクターはほとんど同じ造形のポリゴン。ただの記号だ。 ゲームはゲーム。下手な感情移入など不要。そう言わんばかりの作りだ。 先の「映画的な楽しみ方」を100%没頭させるゲームなのだ。 シンプルなゲーム性に高い戦略性 しかし、一言でいうとこのゲーム「死にゲー」である。 ルールハシンプルだが、かなりの高い戦略性を求められる。 1対1で射撃戦を講じるなら余裕だろう。しかし、このゲーム敵がわんさか出て、1対多を必然的に求められる。 360度どこから弾丸が飛んでくるか分からない。故に、全体を見渡しての状況把握が必要となる。 そうやって視点を動かしている間に背後を取られる、などというのもしばしば起こる。 そして、「ゲームオーバー」 さながら、ワンマンアーミーの過酷さ
続きを読む