三菱東京UFJ銀行が個人向けネットバンキングにおける振込などの取引のセキュリティ対策で、乱数表を廃止し、ワンタイムパスワード使用を必須とする方針を発表しました。8月9日以降のすべての新規契約者に義務づけ、その後既存契約者にも対象を拡大する方針のようです。
ITメディアニュース:「三菱東京UFJ、ネットバンクでワンタイムパスワード使用を必須に」
ワンタイムパスワードを発生させるツールとしては、スマホアプリと専用カード(形状はこれまで通りトークンタイプか?)のいずれかを契約者が選ぶ形になります。
なら、みんなスマホアプリを選ぶのでは?と思ってしまいますが、スマホアプリの場合、次のような難点があります。
・スマホ自体がウイルス感染して、ハックされ、アプリが勝手に悪意の第三者に操作されてしまう
・スマホが固まってしまう等で端末を初期化した場合や、スマホが壊れた場合などに、ワンタイムパスワードアプリの再設定手続きが面倒(銀行のカスタマーセンターに連絡して所定の書面手続きを行う等)
・スマホの機種変更をしたときに、同じく再設定手続きが面倒
ワンタイムパスワード専用カードだと操作も簡便なので、実際利用したユーザーさんでは、スマホアプリよりもいいと言う人が結構いらっしゃるようです。
とある銀行でネットバンキングのセキュリティを担当する部署の方に聞いたのですが、本人確認の手段としては、やはり物理的に独立しているものがいいんだ、と言われていました。つまり、PCやスマホに入っていて、他のソフトやアプリと同居しているのではなく、ネットに繋がっているのでもなく、本人確認だけの単機能で物理的に独立しているのが安全だという認識です。更にいうと、生体認証での本人確認がいいんだ、と言われてました。それなら、指紋認証カードがぴったりだな、と今は台湾JINCOで欧米の某顧客向けプロジェクト向け専用に先行製造している指紋認証カードの一般発売開始を心待ちにしている今日この頃です。
◇ 社長のつぶやき ◇ 続きは こちら