預金者の口座を許諾なしに危険にさらす「残高照会サービス」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

預金者の口座を許諾なしに危険にさらす「残高照会サービス」

製品・サービス・業界動向 業界動向

 現在、多くの銀行、信用組合などでNTTDATAの「ANSER-WEB」を使用して、オンラインで残高照会のできるサービスが提供されている。一見すると非常に便利なように見えるのだが、その実、一部の銀行では非常にリスキーな運用をしていることが判明した。

>> ANSER-WEBの危険性

 このシステムを利用して残高照会をするには口座の暗証番号を用いる。オンライン残高照会用の暗証番号などは用意されることはない。銀行などのATMには暗証番号を特定回数間違えると口座をロックする仕組みが利用されているが、このシステムに利用されているかは不明である。また、その逆に暗証番号を固定して、口座番号を変えながら試行したケースについても不明である。おそらくこのケースでは口座はロックされない可能性が高いと思われる。とすると、残高を確認できる口座の発見率は非常に高くなる。なお、この方法の実行は、スクリプトなどによる自動処理でごく簡単に行える可能性が高い。それほど膨大な時間がかかるとは思われない。

>> 許諾なしにネットで口座を

 また一部の銀行では、このサービス利用に申込は必要とせず、口座を持っている人なら誰でもサービス利用可能となっている。銀行側が全預金者にこのようなサービスを行うことについて承諾を取っているとは思われない。と言うことは、インターネットを利用しない預金者は、自分の口座がこのような危険性にさらされていることに気付いてさえいないだろう。

>> 事故や犯罪には無責任

 さらに、どの銀行のサイトを見ても「当該システムのセキュリティに関して責任を負いかねます」という内容の文言が付記されている。たとえば以下のようなものである。


当行では、お客様が入力されました店番・預金口座番号・暗証番号等は機密面での配慮を、最新技術により最高度にセキュリティを確保しております(
SSL128ビット暗号化技術や電子認証等)が、インターネット上の内容は専用線接続と異なり、技術的に他(サイバーテロ:ハッカー、クラッカー等の不可抗力)に漏洩する危険性はあります。
当行では当該セキュリティに関し責任を負いかねますのでご了承ください。

 この文章から読みとれることとしては、「このシステムに危険性はありますが、それを理解の上、自己責任でシステムを利用してください」と言うことになる。つまり言い換えてみれば、「利用しなければ安全である」と言っているととれる。先に述べたように、利用しなくとも残高を他人に見られる危険性があるにもかかわらず、「利用しなければ安全」とも解釈できることを謳っているのである。銀行側では残高を第三者に確認されることはリスクではないと思っているのであろうか?残高を確認できると言うことが、暗証番号が他人に知られることと=(イコール)であることに気付いていないのであろうか?

 銀行等の提供する、このシステムの残高照会サービスには上記の危険性が潜んでいる。このサービスは直ちに中止すべきである。それだけではなく、すでに暗証番号を盗まれている可能性もあるため、銀行側は預金者に暗証番号の変更を呼びかけるべきである。

NTTDATA ANSER-WEB
http://www.nttdata.co.jp/services/s090034.html

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×