ゆうちょ銀行「mijica」取りやめへ 貯金不正引き出し被害で
コメント
注目のコメント
銀行口座と直結しているデビットカードに、様々な付加機能を付けるのは、基本的にリスクが高いと思います。
mijicaの場合、
1.プリカの主たる機能である送金機能がついている
2.アプリ上のアカウントで、アカウントへのチャージと送金がカード無しで出来てしまう
3.アプリアカウントのアクセスコントロールが緩かった
この3つが組み合わされていたので、システムの修正が難しかったものと理解しています。
日本の銀行口座は個人が当座預金を持てないですし、ネット銀行以外では、海外のデビットカードよりセキュリティが弱いなというのが、一貫した印象です。
追記
個人的にデビットとクレジットの両方の機能を持つカードならば欲しいなと思っています。アメリカに住む友人達が持っていて羨ましいです。まぁまず
> セキュリティーの不備を抜本的に改善するには多額の投資が必要
これ自体を何とかした方が良いというか。本当に開発コストの話をしてるなら、コストが嵩むのは最初からちゃんと作らなかった事と、現状の作り方が下手なんじゃ?と思っちゃいますよね。
この話って逆に言うと、ゆうちょは多要素認証を含むオンラインの本人確認やセキュリティ対策は、(コスト的に)何もできません何もしませんという方向に舵を切ったという事なのだと思います。
つまり、あらゆる外部連携を諦める。仮に連携してたとすると非常に脆弱で危険なものという事になってしまいますね。
それにしても解せないのですが、オンライン上でのしっかりした本人確認無しにどうやって振込手続きやってるんですかね...?
ゆうちょは使ってないので全く知識なく申し訳ないのですが、普通に考えて、外部連携用の本人確認と振込手続きの本人確認って同じ手続き通すと思うんですけどね?
オンライン振込の機能が無い?そっちも暗証番号とかでやってる?仮に暗証番号でやってるんだとしたら、mijicaやめただけじゃ意味ない気がするんですが...。
==追記==
ゆうちょにもワンタイムパスワードの仕組みはちゃんとあるみたいですね。ちゃんとやろうとしてるじゃん!とちょっと安心。振込もそれを使ってるのだと思いますが、それでもmijicaやめちゃうのはサービスの作りが全く別で仕組みを乗っけられないか、本音はもう対策しても普及は望めないから辞めたという感じでしょうか。
ちゃんとやれば外部連携とかできそうではあるので今後に期待。mijicaに関しては申込みのタイミングで何らか漏れてるみたいな様子らしいので、そもそも申込みとかmijica機能へのアクセスをワンタイムパスワードで縛ってしまえば良いのでは?と思いますが、それが簡単にはできない作りなんでしょうね。はっきり言ってしまえば大した規模じゃない気がする。
安全に傾きすぎると何も作れない。
田舎出身だと親がゆうちょの口座を作ってくれてるもので、以前ゆうちょのネットバンクを触ってあまりの使いにくさに発狂しそうになりました。