が、その前に先月の連休中(3/21〜23)、頂戴したメールについて触れます。
時流に遅れまいと私にも三菱東京UFJ銀行からメールが届きました。この世界有数のメガバンクから”こんにちは”とフレンドリーに挨拶され、後に”貴様”呼ばわりされるメールです。
引用ここから
こんにちは!
これは三菱東京UFJ銀行によって行っているユーザ番号の調査です。あなたのユーザ番号は使用停止になっているかどうかをチェックしています。あなたのユーザ番号は合法的であることが保障できるために、下記のリンクをクリックしてください。
えいちてぃてぃぴーえす://entry11.bk.mufg.jp/ibg/***/APLIN/loginib/login?_TRANID=AA000_001 (改変しています)
あなたのユーザ番号の承認が完成された後、三菱東京UFJ銀行よりあなたのユーザ番号をチェックしていただきます。
2014年「三菱東京UFJ銀行」のシステムセキュリティのアップグレードのため、貴様のアカウントの利用中止を避けるために、検証する必要があります。引用終り
私、口座を保有していないのですが...口座があれば”貴様”から”お客様”に昇格できるのでしょうか。三菱東京UFJに口座を至急開設し、上記URLに口座情報を入力することも検討しております。でありますので、メガバンクの上から目線の”貴様”呼ばわりを取り下げて頂きたく存じます。
上記に類したメールは2014年の年明け以降出回り始めたようですが、三菱東京UFJ銀行の口座を狙ったメールばかりです。過去、三井住友銀行やみずほ銀行でも同様なメールが出回ったことがあったようですが、現在は三菱東京UFJ銀行に集中しています。
今後も、新たな金融機関が、或いは、過去に被害にあった金融機関が再度標的にされ、詐欺メールは執拗に続くわけです。
ただ、2ヶ月以上の期間に渡って三菱東京UFJ銀行の行名が取り沙汰され続け、未だ収束しない状況では、問題が放置されているかの印象を持ってしまいます。確かに、三菱東京UFJ銀行のサイトにはフィッシング詐欺に対する注意が喚起されています。しかしながら、口座を保有しない私にとってはそもそも当該サイトを訪問する理由がなく、上記メールの受信前に注意を目にすることはできません。
口座の非保有者への注意喚起は不要とされているのだろうか、と思っていた所、ここ数日注意を喚起する告知がテレビで放送されていることに気づきました。これなら口座の非保有者にも注意を喚起できるわけですが、該告知の視聴者と該メールの受信者やネットバンキング利用者との属性はどこまで重なるものでしょうか。テレビを見ないネットのヘビーユーザーもかなりの数に上るのではないかと...グーグルやヤフーといったポータルサイトのトップページの広告枠で告知した方が効果的なように思えます。
いずれにせよ、私のような口座の非保有者は当該詐欺メールを受信後でしか注意が喚起されないわけです。
少なくとも私にとって、新規に銀行口座を開設する必要が生じた時、三菱東京UFJ銀行の選択を躊躇させるメールであるのは確かです。
では、三菱東京UFJ銀行に口座を開設していない私のアドレスが何処から漏洩したのでしょうか。思い当たる節は幾つもあります。ヤフー、T-サイト、楽天、セゾン系サービス、リクルート系サービス、JCB、JALカード等、疑えばきりがありません。全てグレーです。
現在の所、リクルート系サービス、JALカード辺りかなと思っています。該詐欺メールの受信前にリクルート系サービスでシステム障害がありました。リクルート系サービスにおけるシステム障害に伴う個人情報の流出は過去にもありました。同じ頃、JALマイレージバンクのサイトで不正ログインにより利用者に無断でアマゾンのギフト券とのマイル交換が行われていたことが公表されました。
ただ、その後もJCBの会員専用WEBサービスへの不審なアクセス、セゾン系サービスへの第三者によるアクセスといった警告メールを受信しています。もう、何が何だかですが、そういった中で三菱UFJニコスと提携しているJALカード、リクルート系サービス、加えてJCBが色濃いところでしょうか。
こういった不正アクセスや個人情報の流出が確認されると、警告メールでIDとパスワードを変更を要請されます。
推測しやすいパスワードは避けろ、パスワードは定期的に変更しろとか、IDやパスワードは他のサイトと共通にしないでくれといった文言と一緒に...最近では、IDやパスワードを設定する際、その安全性が評価され不正使用の危険性が高いIDやパスワードは認めないサイトもあるようです。
ただ、いくら強固なパスワードを作成しても情報の盗取を目的とした不正アクセスに対しては、システムについてのセキュリティの問題ですから効果は望めません。不正に侵入されてIDとパスワードを盗奪されることには抗えません。そういった環境の中、登録型サイトの利用者は一体いくつのIDとパスワードを管理しなければならないのでしょうか。警告メールの、度重なるパスワード変更の要請には辟易しています。
例えば10のサイトに個別のIDとパスワードを設定し、半年毎に変更を求められたとしたら...ただでさえ、日々衰えていく頭で半年毎に10のサイトのIDとパスワードを更新することなど煩わしさの極みです。平常時でも定期的にパスワードの変更が求められるなど、本来サイト管理者が負うべき責任の一端を担わされるようで素直に受け入れられないものがあります。
根本的には偽造の恐れは排除し得ませんがMACアドレス、IPアドレスとの組み合わせ、指紋認証、電話とのリンク、認証番号表の併用等、IDとパスワードの変更作業に振り回されないログインシステムの採用を望んでいます。
こういったより安全性の高いログインシステムの採用が拡がるには、不正アクセスによる危険を、サイト管理者が如何に深刻に捉えているかに依るのではないでしょうか。未だ数字のみ4桁のパスワードを容認しているサイトではその姿勢を疑ってしまいます。
ところで、上記JALカードについてですが、既に保有していての話ではありません。実は、故あって私のメールアドレスを一時的に利用し、名義が私ではない新規カードの発行を申請した時のことです。
カード発行の申し込み後、必要書類の送付をもたもたしていた所、”【JALカード】入会申込書ご返送のお願い”が届きました。で、翌日くらいに上記のアマゾンのギフト券への不正なマイル交換が報道されたわけです。
元々、必要に迫られてのカード発行ではないため、当然、書類の送付を躊躇してしまいます。状況の説明や対策がなされた後、その公表を待って書類を送付するつもりでいるのですが...
未だ説明もなく、現在もJALマイレージバンクのサイト上ではアマゾンギフト券との交換のみが停止され続けています。結局、対策が講じられて、危険は取り除かれたのでしょうか?よくわかりません。身動きが取れないままです。
その後、三菱東京UFJ銀行の”貴様メール”やら、いくつかのサイトから”IDとパスワード変更のお願い”が次々と届き、先日(4/11)のOpenSSLの脆弱性についての報道に至るわけです。私に届いた詐欺メールや不正アクセスがOpenSSLの脆弱性に起因してのことかは存じません。
ネット暗号化ソフト重大な欠陥
例えば、
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません
ネットショップ利用者は早急にパスワードの変更を!〜暗号化ソフトSSLの欠陥・Heartbleed(心臓出血)は「壊滅的」
で詳しく解説されていてありがたいことですが、共に、
サービスの利用者は拙速にパスワードを変更したりせず、Webサイト側が対策済みであることを確認した後に変更するのが好ましい
といった旨を引用されています。ただ、
脆弱性が見つかりましたが対策しましたので、もう安全です
といった内容のメールをこれまで受信したことがありません。届くのはIDやパスワードの変更を依願するメールのみです。該メールを受信した時点では、既にWebサイトは対策済みと捉えていいのでしょうか。
その一方で、一連の不正アクセスに関する報道など意に介することなく、ネットワーク上には相変わらず、クレジトカード他、各種サービスへの販促広告が氾濫し”今なら...”の勧誘の声が喧しいわけです。本来、そういった広告枠を使って注意を喚起したり、経過報告の開示を行うべきかと考えます。
顧客の安全、顧客満足度、利用者目線といった語との整合性の欠如を感じてしまいます。
0 件のコメント:
コメントを投稿