0001朝一から閉店までφ ★
2018/08/10(金) 20:37:07.779あるAnonymous Coward曰く、
北海道に拠点を置く北洋銀行(第二地方銀行)では、各種オンラインサービスと連携を図りやすくするため「ほくようID」というものの発行に力を注いでいるようだ。
ところがこの「ほくようID」を発行すべくオンラインで手続きを進めると、キャッシュカードの暗証番号を入力しろとの案内が出る。
ほくようIDの「よくあるご質問」ページには「ユーザー登録やパスワード再設定の際に、ご本人確認のため暗証番号の入力をお願いしております。
暗号化技術を採用し、セキュリティに十分配慮しておりますので安心してご利用ください。」とある一方、
北陽ダイレクトの「よくあるご質問」ページなどでは、「当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません」とある。
はたして一般的な利用者は、ほくようIDの暗証番号入力画面が正規の北洋銀行のWEBサーバーだとどのように認識するのだろう。
「ほくようID」の発行サイトを装ったサイトを作れば、口座番号も氏名も生年月日も、さらには暗証番号までも、すんなりと手に入れられてしまうだろう。
フィッシングに注意を促すべき銀行自体が、その手口を理解していないようにも思えるこの事案。あっちはダメでこっちはよいという、ダブルスタンダードを掲げる金融機関のセキュリティポリシーに疑問を感じざるを得ない。
最も第二地方銀行くらいの情報部門にそこまで考えろというのは荷が重いのかもしれないが:p
https://security.srad.jp/story/18/08/10/069235/
