4桁の暗証番号で、だいじょうぶ?

「ドコモ口座」通じた不正引き出し被害 7日時点で2842万円に

NTTドコモは、電子決済サービスの「ドコモ口座」を通じて各地の銀行で預貯金が不正に引き出される被害について、7日の時点で125件、2842万円にのぼっていると発表しました。…

NHK/10月8日

七十七には本人確認のマニュアルがないらしい

ドコモ口座からの不正引き出し事件の先陣を切った七十七銀行には、二段階認証の仕組み自体はあるのに、広く顧客獲得を狙ってのことなのか、ドコモ口座との連携では、セキュリティレベルを低くくしていたことが問題となりました。

セキュリティ意識が低いのは、窓口業務においても同様です。
先月、窓口にて現金を引き出すために代理の者を行かせたところ…、
「しばらく動いていない口座なので、ご本人確認が必要になります…」
と窓口で言われました。
代理の者が私の携帯電話番号を銀行担当者に伝え、ほどなく担当者から電話がかかってきました。
「あしざわ様の携帯でしょうか」
「はい…」
「今、窓口に〇〇様がお見えになっていまして、〇〇円をお引き出しになられるということですが、お間違いないでしょうか…」
「はい、間違いないです」
「かしこまりました。しばらく動いてない口座でしたので、ご本人確認でした…」
と電話は終わりました。

えっ…、本人確認って、生年月日や登録している住所や電話番号などを訊くんじゃないの…

そもそも、キャッシユカードの暗証番号が4桁でいいのか?

4桁では足りません。
ドコモ事件では、リバースブルートフォース(逆総当たり)攻撃があったのではと言われているようです。
4桁の数字の組み合わせは1万通り
たとえば、ドコモ口座(d払い)ユーザー数は2700万人以上
この2700万人は、1万通りの数字の組み合わせのいずれかを使っているわけです。
あるユーザーIDにたいして暗証番号を3回間違えるとロックがかかりますが、暗証番号を固定して、ユーザーIDを総当たりしていけば、理論上は2700人が同じパスワードを使っている可能性があるわけです。
使わないで…と言われているのに、「1234」や「誕生日の月日」を設定している人も多そうでです。
となると、366通りと絞り込まれます。

Webサービスなどのパスワード設定は、大抵は8桁以上、しかも英字と数字の組み合わせや、記号も必要とされるものもあります。
メガバンクのネットバンキングはそうした対応がされていますが、七十七銀行のスマホのネットバンキングへのログインは、会員番号10桁と暗証番号4桁だけです。

暗証番号、パスワードはどうやって決めればいいのか

現在使用しているWindows10で使用しているGoogle Chromeは、新しいパスワードの提案をしてくれます。しかも、自動保存してくれるので、覚える必要もありません。
しかし、突然、パソコンがクラッシュしたら…。

わたしは、「ID Manager」という、パスワード管理のフリーソフトを長年使用しています。
このソフトには、「パスワード自動生成」機能があり、とても重宝しています。
もちろん、パソコン本体には保存せず、USBメモリに保存しています。
USBメモリを失くしたら…、と心配をしだすとキリがありませんが…。

ただ、このソフト、Windows向けのものしかなく、Macユーザーであった時期は「ID Manager」に匹敵するソフトがなく困っていました。

SNS、ビデオ会議システムなど、個人情報が乗っ取られやすい危険が増えています。
日本も、デジタル社会に本腰を入れだしたわけですが、「効率」ではなく「安全と信頼」を最優先にして進めてもらいたいと思います。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です