楽天銀行ワンタイムキー通知のセキュリティが相変わらず弱い

ネット銀行・証券
ネット銀行・証券

こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。

 

楽天銀行が振込操作時のワンタイムキー通知メールの不正防止の仕組みを導入するそうですが、セキュリティ対策としては相変わらず弱いままなので紹介します。

 

そーたろー
そーたろー

ここはどんなブログなの?

  • お金、投資、資産運用、副業が中心のブログです。

 

そーたろー

この記事を書いたそーたろーはこんな人です。

  • 2008年から国内・海外ETF、つみたてNISA、iDeCoなどでインデックス投資をしています。
  • 2020年より米国株オプション、サラリーマン大家、副業ブログを実験中です。

 

そーたろー

この記事は次のような人にオススメです

  • 楽天銀行の利用者
  • ネットバンクのセキュリティに関心がある人

 

スポンサーリンク

この記事の目的

楽天銀行のワンタイムキー通知メールの仕組みが変更されるので紹介します。

今回新たに不正防止の仕組みが導入されるとのことですが、セキュリティの強度としては従来と変わらず弱いままです。

自分で資産運用を行う人は利用する金融機関のセキュリティ対策にも気を配る必要がありますね。

 

楽天銀行のセキュリティ上の欠陥

まず楽天銀行はMFA(二要素認証)、トランザクション認証が導入されておらず、ネットバンクのセキュリティとしては致命的な欠陥を抱えています。

楽天銀行のセキュリティが甘いので注意点や使い方のコツを紹介するよ
楽天銀行は他行に比べてセキュリティが甘いので、注意点や使い方のコツなどを紹介します。 楽天銀行の利用者 楽天銀行の口座開設を検討している人 この記事の目的 ...

この欠陥をカバーするべく電子メールを使った認証が採用されていますが、サイバーセキュリティ対策としては完全に時代遅れです。

今回はこの時代遅れなセキュリティ対策にマイナーチェンジが施されるとのことです。

 

DMARCで迷惑メールに振り分け

以下は今回の変更に関する楽天銀行からのお知らせです。

2022年11月14日(月)に振込操作時のワンタイムキー通知メールの不正防止の仕組みを導入いたします。
これにより、楽天銀行を装った「なりすまし」や「改ざん」判定が可能となります。

振込時のワンタイムキー通知メールの不正防止対策導入について | 楽天銀行

細かいことはお知らせには出ていませんので楽天銀行へ問い合わせたところ、変更前後は以下のとおりとのことです。

認証変更前変更後
SPF有効有効
DKIM有効有効
DMARC(認証失敗時の推奨)何もしない
迷惑メールフォルダへ振り分け

SPF、DKIM、DMARCの技術的な説明をすると長くなるので端折りますが、要約するとSPF、DKIMの認証に失敗(なりすましや改ざんと判定)したときに、DMARCによって受信者側で推奨されるアクションが「何もしない」から「迷惑メールフォルダに振り分ける」に変更されるといったものです。

 

セキュリティは弱いまま

SPF、DKIM、DMARCについては電子メールの認証技術として導入が推奨されていて、すでに導入済みの楽天銀行では今回はマイナーチェンジということで、この点については何らとがめる筋合いはありません。

ただお知らせの文脈から楽天銀行のセキュリティ強度が上がったと受け取るのは間違いではないかと思っています。

迷惑メールの判定基準というのは全体としては曖昧で、SPF、DKIM、DMARCのようにシステム的な認証失敗もあれば、メーラーの独自判定で迷惑メールに振り分けられる場合もあり、後者の場合は過検知が割と頻繁に発生します。

そして最終的な迷惑メールに対するアクションは利用者に委ねられるので、ヒューマンエラーの可能性を考えればセキュリティの強度としては弱いままでしょう。

今回の変更対象はワンタイムキー通知メールということですが、そもそもワンタイムキーがメールで届くこと自体が脆弱なので、特にネットバンクの不正送金対策ではトランザクション認証が有効です。

ネット銀行の不正送金対策はトランザクション認証が最良【資産運用】
資産運用に不可欠なネット銀行をより安全に使えるトランザクション認証を紹介します。 トランザクション認証は不正送金対策に高い効果があり、不正アクセスによる振込、中間者攻撃を予防することができます。 ...

 

利用者は注意しましょう

楽天銀行は楽天経済圏の利用者に支持されているように思います。

ポイ活がメインの利用者にとってセキュリティというのは優先順位が低いであろうことが予想されます。

しかし資産運用がメインの人であればリスク管理というのはないがしろにはできないはずなので、利用する金融機関の安全性には十分配慮するはずです。

そういった意味で「楽天銀行はユルイ人に人気のネットバンク」というのが私の評価です。

なお万が一、不正送金被害にあってしまった場合には補償が受けられることになっています。

インターネットバンキングの被害補償について | 楽天銀行

しかし補償があるからと言って、自分で資産運用を行う人がセキュリティ対策が不十分な金融機関をリテラシーの観点から選ぶでしょうか。

 

まとめ

楽天銀行のワンタイムキー通知メールの仕組み変更について紹介しました。

ワンタイムキー通知メールがなりすましや改ざんと判定されると迷惑メールフォルダへ振り分けられるようになるけど、セキュリティ強度は以前と変わらない

資産運用では金融機関のサイバーセキュリティ対策にも注意したいですね。

 

★投資デビューはスマホ証券がおすすめ!

新成人の投資デビューはLINE証券で投資信託を買うのがおすすめ
LINE証券の「Z世代に関する投資意識調査の結果」を基に、新成人の投資デビューに投資信託をおすすめする理由などを紹介します。 これから新成人になる人 これから投資デビューする人...

★自動運用を始めるなら次世代ロボアドのSUSTENがおすすめ!

SUSTENはヘッジファンド戦略が利用できる斬新なロボアド
ヘッジファンド的な運用と成果報酬型の費用体系が採用された、今までにない新しいタイプのロボアド・サービスSUSTENを紹介します。 分散投資でポートフォリオのリスクを下げたい人 ...

★知ってた?インデックス投資×株式オプションで時代を先取り!

インデックス投資と米国株オプションの相性がよい10の理由【注目】
インデックス投資と米国株オプションの相性がよい理由を紹介します。キャッシュ・セキュアード・プット、カバード・コールはインデックス投資と並行してやるメリットがあります。 インデックス投...

★これからインデックス投資を始める方は参考にどうぞ!

インデックス投資におすすめのネット・スマホ証券、ロボアド
そーたろー インデックス投資ができるネット・スマホ証券、ロボアドを紹介します。 証券口座数の調査 インデックス投資ならネット証券 手軽さならスマホ証券 全...
そーたろー

記事はお役に立てましたか?もし気に入っていただけたらランキングのチェックとフォローをお願いします!

\ランキングをチェックする/
にほんブログ村
人気ブログランキング
\ この記事をシェアする /
\そーたろーをフォローする/
スポンサーリンク
お金に困らない生活(インデックス投資ブログ)