こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- 2008年から国内・海外ETF、つみたてNISA、iDeCoなどでインデックス投資をしています。
- 2020年より米国株オプション、サラリーマン大家、副業ブログを実験中です。
この記事は次のような人にオススメです
- 楽天銀行の利用者
- ネットバンクのセキュリティに関心がある人
この記事の目的
楽天銀行のワンタイムキー通知メールの仕組みが変更されるので紹介します。
今回新たに不正防止の仕組みが導入されるとのことですが、セキュリティの強度としては従来と変わらず弱いままです。
自分で資産運用を行う人は利用する金融機関のセキュリティ対策にも気を配る必要がありますね。
楽天銀行のセキュリティ上の欠陥
まず楽天銀行はMFA(二要素認証)、トランザクション認証が導入されておらず、ネットバンクのセキュリティとしては致命的な欠陥を抱えています。
この欠陥をカバーするべく電子メールを使った認証が採用されていますが、サイバーセキュリティ対策としては完全に時代遅れです。
今回はこの時代遅れなセキュリティ対策にマイナーチェンジが施されるとのことです。
DMARCで迷惑メールに振り分け
以下は今回の変更に関する楽天銀行からのお知らせです。
2022年11月14日(月)に振込操作時のワンタイムキー通知メールの不正防止の仕組みを導入いたします。
これにより、楽天銀行を装った「なりすまし」や「改ざん」判定が可能となります。
振込時のワンタイムキー通知メールの不正防止対策導入について | 楽天銀行
細かいことはお知らせには出ていませんので楽天銀行へ問い合わせたところ、変更前後は以下のとおりとのことです。
| 認証 | 変更前 | 変更後 |
|---|---|---|
| SPF | 有効 | 有効 |
| DKIM | 有効 | 有効 |
| DMARC(認証失敗時の推奨) | 何もしない |
迷惑メールフォルダへ振り分け
|
SPF、DKIM、DMARCの技術的な説明をすると長くなるので端折りますが、要約するとSPF、DKIMの認証に失敗(なりすましや改ざんと判定)したときに、DMARCによって受信者側で推奨されるアクションが「何もしない」から「迷惑メールフォルダに振り分ける」に変更されるといったものです。
セキュリティは弱いまま
SPF、DKIM、DMARCについては電子メールの認証技術として導入が推奨されていて、すでに導入済みの楽天銀行では今回はマイナーチェンジということで、この点については何らとがめる筋合いはありません。
ただお知らせの文脈から楽天銀行のセキュリティ強度が上がったと受け取るのは間違いではないかと思っています。
迷惑メールの判定基準というのは全体としては曖昧で、SPF、DKIM、DMARCのようにシステム的な認証失敗もあれば、メーラーの独自判定で迷惑メールに振り分けられる場合もあり、後者の場合は過検知が割と頻繁に発生します。
そして最終的な迷惑メールに対するアクションは利用者に委ねられるので、ヒューマンエラーの可能性を考えればセキュリティの強度としては弱いままでしょう。
今回の変更対象はワンタイムキー通知メールということですが、そもそもワンタイムキーがメールで届くこと自体が脆弱なので、特にネットバンクの不正送金対策ではトランザクション認証が有効です。
利用者は注意しましょう
楽天銀行は楽天経済圏の利用者に支持されているように思います。
ポイ活がメインの利用者にとってセキュリティというのは優先順位が低いであろうことが予想されます。
しかし資産運用がメインの人であればリスク管理というのはないがしろにはできないはずなので、利用する金融機関の安全性には十分配慮するはずです。
そういった意味で「楽天銀行はユルイ人に人気のネットバンク」というのが私の評価です。
なお万が一、不正送金被害にあってしまった場合には補償が受けられることになっています。
しかし補償があるからと言って、自分で資産運用を行う人がセキュリティ対策が不十分な金融機関をリテラシーの観点から選ぶでしょうか。
まとめ
楽天銀行のワンタイムキー通知メールの仕組み変更について紹介しました。
資産運用では金融機関のサイバーセキュリティ対策にも注意したいですね。
★投資デビューはスマホ証券がおすすめ!
★自動運用を始めるなら次世代ロボアドのSUSTENがおすすめ!
★知ってた?インデックス投資×株式オプションで時代を先取り!
★これからインデックス投資を始める方は参考にどうぞ!
★ネット回線は工事不要で即日使えるWiMAXがおすすめ!
