16th
みずほ銀行オンラインバンキングサービスの何とも微妙なセキュリティ設定
hylomによる 2009年07月14日 16時26分の掲載
仕様が色々と微妙部門より。
セキュリティ
みずほ銀行が提供している「みずほダイレクト」というオンラインバンキングサービスがあるのだが、このオンラインバンキングのログイン画面のセキュリティ設定が何とも微妙なものになっているようだ。
あるAnonymous Coward 曰く、
みずほダイレクトのログイン画面では、「普段と環境が異なる」と判定された場合に合い言葉を入力する画面が表示されるのだが、ここに「このパソコンを登録しません」というチェックボックスがある(みずほダイレクトのヘルプページ)。このチェックボックス、デフォルトではOffになっているのだが、この状態でログインを行うと、使用したPCが「普段利用するパソコン」として登録され、次回からは合言葉確認画面をパスできるようになる。
そして、この「普段利用するパソコン」の識別は、Cookie等を利用するのではなく、なんとアクセスしてきたPCのOSとIPアドレスをデータベースに登録し、その情報を用いているそうだ。つまり、たとえば出先のPCでオンラインバンキングを利用したときに、ついうっかり「このパソコンを登録しません」チェックボックスをOffにしたまま、「次へ」ボタンを押してしまうと、共用PCで2つの合言葉確認をしない環境が提供されてしまうのである。ログインには「お客様番号」と「ログインID」も必要なため、これだけでログインできる状態ではないものの、鍵3つのうち2つが失われてしまう状態になってしまう。
セキュリティ的には、デフォルトでは「このパソコンを登録しません」チェックボックスをOnにしておくか、もしくは「このパソコンを登録する」という文言に設定しておくのがよいかと思われるのだが、みずほ銀行の担当者に問い合わせたところ、「お客様からのご指摘は承った」「セキュリティと利便性を考慮するとしばらくは今のまま」という回答を得た。
つい、うっかりで共用PCを「登録してしまう」(つまり、3つの鍵のうち2つを無効>にしてしまう)ことより、登録したいPCを登録するときに「チェックを行う」という一手間を省く、という利便性をとったというのである。ああ、なんてこったい……
