詳細検索

検索対象

まとめダネ!

ゆうちょ銀行のWEB口座とmijica関連のセキュリティを高木先生が検証「推奨環境がFirefox3」

さて、ようやく重い腰を上げて、ゆうちょ銀行に口座を作ってきた。これでいろいろ確認できるぞと。通帳には、口座番号と名義人名の他は、謎のバーコードに記載の数字列が2つあるのみ。最終残高は0。 https://t.co/3EPZ6QOnyS

2020.09.25 22:33:07

通帳を作る際の本人確認(と称した身元確認)は運転免許証を用いたが、マスクを取れと言われなかったので、顔の照合はしていないようだ。(あるいは、確認することになっていてもやってないのか、目だけで確認できる場合もあるということなのか、怪しい場合にだけ確認するのか?)

2020.09.25 22:35:53

口座開設申込書は、事前にWeb入力で作成し手元で印刷できるようになっていたので、手書き部分がない。今回の一連の事件で筆跡が云々という報道があったので変に思っていたが、窓口で届出印を届け出る用紙を作成する際に、住所氏名等を記入するところがあり、そこが手書きとなった。

2020.09.25 22:43:18

キャッシュカードはまだ届いていないが、この状態でmijicaを作ることができるだろうか。

2020.09.25 23:03:31

早速、個人データの利用目的が怪しい。「カード利用日、利用店、利用額及び商品名」とあるが、その利用目的が「本サービスの提供及び会員管理を目的として」としか示されていない。クレディセゾンに第三者提供するとはあるが、その目的の記載がない。
https://t.co/F6x6zOiB6r https://t.co/1wdG6WT3jT

2020.09.25 23:17:10

月日入力で、一桁だとエラーという、アホ設計。 https://t.co/XhF9c4G9Y5

2020.09.25 23:21:14

次の画面で「ネット口座振替受付サービス」との画面に移行するが、ドメイン名が bc-pay. jp と、何者かの説明が一切ない。申し訳程度に左上角に「株式会社ゆうちょ銀行」との文字列があるが、だから何なんだ?という感想しかない。そのくせ金融機関を選択しろというのがもう意味不明。 https://t.co/PEpDJV7ZvB

2020.09.25 23:25:44

「これより先はゆうちょ銀行サイトへ遷移します。」だって。じゃあお前は誰なんだよ?
「※ブラウザの戻るボタンは使用しないでください。」とか、ああぁぁ!ウォーターフォールの音ォォォ! https://t.co/xCOs3wMbUW

2020.09.25 23:27:26

「ゆうちょ銀行サイトへ遷移します」のはずだったが、遷移したのは、net-koufuri. jp というこれまた誰?というサイト。やはり左上に申し訳程度に「ゆうちょ銀行」のロゴが貼られているが何ら信用できない。 https://t.co/CNtQhzvEmh

2020.09.25 23:30:03

ここに「【重要】不正にポップアップ画面を表示させる等によって、認証情報を盗み取ろうとする犯罪にご注意ください。」と書いて何の意味があるんだか?
t.co/tIlKsDkNUA

2020.09.25 23:30:36

「即時振替規定」を読めとなっているが、表示された即時振替規定は、「当行」と言っているけれども、誰のことなのか、末尾まで読んでも一切記載がないという、匿名の「当行」を当事者とする謎の契約となっている。ふざけた法務だな。 https://t.co/0djrg34MK1

2020.09.25 23:34:56

「同意事項」ボタンを押すと、「等の情報が、収納加入者における商品・サービス提供のため、貴行から収納加入者に提供される」と出るが、「承認を受けた収納加入者」というのがもう、何を指しているのか全く不明。第三者提供? 委託でなく? ていうか、ゆうちょ銀行からゆうちょ銀行への提供??ハア? https://t.co/6Yi5xVvUEQ

2020.09.25 23:37:34

その「承認を受けた収納加入者」というのが、下を読めば、「当行がこのサービスに係る承認をした加入者(以下「収納加入者」といいます。)」のことであるらしいことは推測できるが、順番が逆じゃ失格な。という以前に、「当行がこのサービスに係る承認をした」ということの意味が普通はわからない。 https://t.co/iAWgSHa3HW

2020.09.25 23:41:41

この先頭の「1」と末尾の「0」をわざわざ省かせる意味は何なの? クソなだけでは? https://t.co/tHYLEo96EV

2020.09.25 23:42:50

「収納機関名 株式会社ゆうちょ銀行」て、自分自身のことを「当行がこのサービスに係る承認をした加入者」と言っていいんですかねえ?
t.co/Ae1oKQXOfW

2020.09.25 23:45:08

出たー、ソフトウェアキーボード(笑)。何の意味があるの? しかもここだけ? さっきの数字は? https://t.co/NFlzChz5k0

2020.09.25 23:47:27

「以下の項目をすべて入力または選択してください。」と言うけど、「選択」するものは存在しないよ? https://t.co/PCFvTkvwTP

2020.09.25 23:49:36

キャッシュカード暗証番号を入力することが「本人確認のため」だってさ。ていうか、「必ず入力してください」もナニも、入力しないと進まないじゃん。 https://t.co/myiBVZtJ38

2020.09.25 23:54:12

暗証番号を無駄に保持する画面挟むの、やめなよ。 https://t.co/5xe5OJKQkR

2020.09.25 23:56:56

ギャー、ご破算!😡 https://t.co/ACRo6P5vtt

2020.09.25 23:57:47

どんだけ急いで進めないといけないの? 規約とか熟読してたら許されないの?😠
t.co/r2H7zcrAqt

2020.09.25 23:59:42

もう一回最初からやり直しだよ。

ありゃ?最初の画面で即座にこれ。どうなってる? https://t.co/h8Oj7gEhYG

2020.09.26 00:02:19

cookieを削除したら再開可能。普通の人はそんなんわからへんで。 https://t.co/2MUFpsY3Wn

2020.09.26 00:06:03

暗証番号を入れると一瞬で認証完了。

つまり、ここまでに入力した、口座名義氏名、生年月日、口座番号があれば、リバースブルートフォースで暗証番号が特定される口座が少なくない割合で出てしまう。 https://t.co/9W1zMTNJWY

2020.09.26 00:10:14

「次へ」を押すと、このウィンドウ(タブ)に戻る。(さっきのタブを閉じていたらどうなっていたんだろう?)

なぜか「性別」が必須のようだ。ゆうちょ銀行口座の開設では性別の無記入は許されたのに。 https://t.co/h7c9VYUQPl

2020.09.26 00:13:10

「ゆうちょからのお知らせメール配信希望」というのがどういうお知らせなのわからん。取引の通知という重要なお知らせなのか、クレディセゾンからのどうでもいい宣伝が来るのかも不明。
t.co/7lFjR3sVHh

2020.09.26 00:14:47

ここの暗証番号入力では、ソフトウェアキーボード(笑)はないんだね。
t.co/7lFjR3sVHh

2020.09.26 00:16:10

今どき、パスワードの長さ制限とか。16字以内とかアホでしょ。「英数字を最低1文字ずつ組み合わせ」もナンセンス。使える記号が「-」「=」「@」「_」のみってのもどういう事情なの?(記号入れる必要もないけどね。)
t.co/7lFjR3sVHh

2020.09.26 00:17:42

「配偶者有無」とか「職業」とか「店舗コード」とか入れされる目的(個人データの利用目的だよ)がさっぱり不明。どうせクレディセゾンのマーケでしょ? 個人情報保護法18条2項(直接書面取得時の利用目的明示義務)違反では?
t.co/7lFjR3sVHh

2020.09.26 00:20:44

Safariの自動生成パスワードがそのまま使えるのはまあ合格。 https://t.co/lwUTch4vmE

2020.09.26 00:23:25

完了してしまった。電話番号にゆうちょ銀行口座とは別の電話番号を指定したのに通ったので、電話番号は認証要素に使われていない。

つまり、口座名義氏名と生年月日と口座番号と(リバースブルートフォースで特定された等の)暗証番号があれば、即時振替が設定できてしまう。 https://t.co/bcDlGRnH7Q

2020.09.26 00:25:49

「カードがお手元に届くまでの間は、mijica WEB等からチャージは行わないでください。」というのは、なぜなんだろうね。
t.co/MxOkJKfUrE

2020.09.26 00:27:08

推奨環境!(爆)ウォーターフォールの音ォォ https://t.co/qHx5m71a7h

2020.09.26 00:31:11

ログイン画面。「/PPD/CS110100」このパス名がもうウォーターフォールの音ォ。 https://t.co/LXfGlvIna8

2020.09.26 00:34:33

まずは「ログインIDを忘れた場合はこちら」へ。
mijicaカードが必要なようだ。裏面のカードIDのことではなく、プリペイドカードのカード番号。これを知られている場合はそもそもアウトなわけだが、CVVや3Dセキュアが要らないので、リスクはある。ただし登録済みのメールアドレスにID通知なので普通。 https://t.co/vCltIx6y2c

2020.09.26 00:39:49

ただし、カード番号・有効期限が知られていて、生年月日・電話番号が知られていない場合に、検索機能と化す可能性があるが、「ログインID通知依頼」ボタン押下後の画面が、エラー表示しないならセーフ。(今はカードがないので試せず。)
t.co/SIvg2KJjXg

2020.09.26 00:41:13

次に「ログインパスワードを忘れた場合」の画面。ハイ、存在するIDの検索機能。 https://t.co/RjJd9jti0e

2020.09.26 00:44:22

「パスワードリセットを行」うそうで、氏名、生年月日、電話番号が要求されるが、入力個人データの検索(検証)機能と化しているように見受けられるが、同じメールアドレスに対する繰り返し検証のロックアウトが実装されているかどうか。未確認だが、30回くらいは押せた。 https://t.co/A1hmy64iZX

2020.09.26 00:49:37

あれ?正しい内容を入れても「入力された内容が正しくありません」となる。ハテ?
t.co/eGlschJWS0

2020.09.26 00:52:48

ログイン後。「ログアウト」ボタンが20世紀の香り! https://t.co/jeZViAihrD

2020.09.26 00:54:37

なぜか登録氏名の「漢字」が「カナ」と同じになってる。さっきのパスワードリセットができなかったのはこれが原因だな。どうしてこうなった。 https://t.co/kmPkNyx93X

2020.09.26 00:57:51

「姓・名(漢字)」はさっき「ゆうちょ口座の名義(姓・名)が登録されます。」とあったのだが?
t.co/q5oHwOKeAQ

2020.09.26 00:59:07

ちょ、漢字、変更できないじゃん。 https://t.co/NpQTvkkg5W

2020.09.26 01:01:02

パスワードリセット機能の確認へ。漢字にカナを入力。「リセット依頼完了」でメールが届く。ギャー、初期パスワードが生で送られてきたぞ。8文字かよ。それでログインすると、初期パスワード変更画面。まあ、秘密キー入りワンタイムURLを送るのと同じと言えば同じだが。(初期パスワードは使用済み) https://t.co/DAAEU5waOU

2020.09.26 01:09:19

新しいパスワードを設定すると、確認画面。確認せんでよろし。無駄な画面挟むなってば。そしてなぜか「TOPへ」を押すと、スマホ用画面になってしまい、元に戻れない。テストしてないやろ。 https://t.co/Jw36aegzsO

2020.09.26 01:12:46

適当にメニューのリンクを辿ったらPC画面に戻った。なんやこれ。 https://t.co/jHoLC9GMo5

2020.09.26 01:14:59

全体的に、2005年ごろの香りがする。

2020.09.26 01:15:32

登録情報を変更したいのにメニューには「各種情報照会」としか書かれておらず、なんの情報を照会するのかもわからない上に、変更機能があるのかもメニューから不明。入ってみるとタイトルが「各種情報照会・変更」となっていてチグハグ。全く直す気ないんだろうね。 https://t.co/psDwOF3I5E

2020.09.26 01:19:07

メールアドレスの変更機能。ログインしていればそのまま可能。変更後のアドレスに来たメールのリンク先にアクセスすれば完了。変更前のアドレスには通知のメールが来るだけで、止めることはできない。しかも、未完了の時点で「完了しました」と通知が来る。 https://t.co/fkQB202QCp

2020.09.26 01:27:41

変更後アドレスに来たキー入りURLにアクセスする前(つまり、メールアドレス変更が完了していない)時点で、ログアウトし、ログインが元のIDでログインできるか確認。→ これは確認できた。変更前アドレスには「メールアドレス変更の手続きが完了しました」とあるのに!

2020.09.26 01:29:30

この状態で、変更後アドレスのキー入りURLにアクセスすると……ログイン中だった画面はまだ生きている。ID変わったのに? あれ?ログアウトしてログインすると、前のIDでログインできるぞ? https://t.co/kDb3iWHFYf

2020.09.26 01:32:04

変更後のメールアドレスをIDにするとログインできない。おいおい、メールアドレス変更って、連絡用アドレスが変わるだけで、ログインIDは古いメールアドレスのままなのか。ログインIDの変更はできないようだから、古いメールアドレスを使い続けないといけないのね。 https://t.co/pVu4hiEabE

2020.09.26 01:34:26

「カード情報照会」画面で、mijica(プリペイド又はデビット)カード番号の下4桁と有効期限を知ることができる。(まだ手にしていないのに。) https://t.co/RGWusGzKSV

2020.09.26 01:39:04

「本人認証サービス情報登録」という機能があるが、なんのことやら? 3Dセキュアのことかな?と推測できるが、普通はさっぱりわからんだろうね。 https://t.co/M2MS8mxhBn

2020.09.26 01:39:57

このパスワードが曲者で、Safariに覚えさせておけない。設定するドメインと利用するドメインが別だからね。

「パーソナルメッセージ」もナンセンス。「偽のサイトでないことを確認するため」と言っているが、中継されていたら終わり。十数年前から指摘しているが、治らず。
t.co/98ZPQZh6FH

2020.09.26 01:43:10

「今すぐチャージ」、ログインしていれば追加認証なしに可能。今回の事件で「99,000円」だったのは、上限が99,000円だからか。エラーになるのは「貯金残高をご確認ください」とあるように残高0のため。 https://t.co/6YyGpFa0Wz

2020.09.26 01:47:28

「ポイント交換チャージ」を押すと「セゾンポイントモールのサイト」が開き、なぜかログイン中になっている。「登録情報変更」の画面に行くと、なんと氏名・生年月日・メールアドレス(変更前)が登録されていた。郵便番号が000-0000なのは、さっき「店舗コード」の入力を拒否したからやな。違法やろ。 https://t.co/yHtQepVIWY

2020.09.26 01:53:56

つまり、さっきのこの画面で(ゆうちょ銀行に対して)入力を促された「店舗コード」から、勝手に居住地郵便番号に変換して(みなして)クレディセゾンが登録しやがった。個人情報保護法17条(偽りその他不正の手段により個人情報を取得してはならない)違反。
t.co/4MH8bomO9F

2020.09.26 01:57:31

それで、このサイトでログアウトすると、ログインできるの?「ログイン」を押すとこのメニュー。「セゾンポイントモール」かな? https://t.co/XR4cx0kS8x

2020.09.26 01:59:34

動作環境!(爆) https://t.co/IB3ZIVI2pZ

2020.09.26 02:00:17

さすがに、majicaのID・パスワードでログインできるわけではないようだが、本当にそうか確信が持てないな。 https://t.co/slGf1TmH0t

2020.09.26 02:04:18

それで、mijicaで買い物をすると、買い物履歴をクレディセゾンに持ってかれるということかね? そういうこと、ゆうちょ銀行は、わかりやすく説明しているかね? 規約でもそうとは読み取れないアウトな規約のようだったが。

2020.09.26 02:07:11

メールアドレスの変更機能、さっき変更した元のアドレスに再度変更したところ、キー入りURLは送られて来ず、ボタンを押しただけで変更が処理された。一度到達確認したものは再確認せず登録されるということか。(それともログインIDと同じだから省略なのか。) https://t.co/VcRXI4qs4m

2020.09.26 02:14:37

「セゾン永久不滅ポイントからの移行」というのを試してみた(別アカウントの永久不滅ポイントからの移行)が、「交換完了後、『ネット限定アイテム交換履歴』ページにてギフト券番号をご確認ください。」というのが意味不明で、完了できず。 https://t.co/kj1y5Kvixs

2020.09.26 02:25:39

セゾン側からのポイント移行では、「電話番号認証」が必要となっており、発信者番号通知で通知される電話番号と登録電話番号との一致が確認される。一定時間以内のトランザクション中の電話番号と照合されるのであろう。(生年月日を入れるのはあまり役に立たないのでは。) https://t.co/npq2l21rKA

2020.09.26 02:38:58

おっと、さっきは「「ネット限定アイテム交換履歴」ページはこちら」を見落としたかな。リンクがあった。 https://t.co/kLHmOgoNDv

2020.09.26 02:41:17

というわけで、ポイントは移行できたが、こんなん、ポイントマニアとか、日頃から永久不滅ポイント使いこなしてる人でないと、わけわからんやろうな。 https://t.co/3PPhB6s0UO

2020.09.26 02:44:26

利用限度額を少なく設定した後、増やす設定を試みたところ、ログイン中であれば追加の認証等なしに、マックスに設定ができる。 https://t.co/cVg0eewNJf

2020.09.26 02:53:26

つまり、この限度額設定は、カード紛失時の不正利用対策ではあっても、mijica Webが不正ログインされ得ることは全くの想定外ということだ。
t.co/aVDBUE4wvA

2020.09.26 02:54:45

とはいえ、カード盗難と、Web不正ログインとが、同時に起きないのであれば、まあ、セーフとも言えるか。
t.co/AOcKumlt8a

2020.09.26 02:57:26

「おくってmijica」はメニューごとなくなっているようだ。 https://t.co/MAdU2AI65O

2020.09.26 02:59:14

あれ?Safariが自動生成・入力してるパスワードは20文字あるのに、16文字制限?どうなっているの?
t.co/bMVwUS5dqs

2020.09.26 03:04:29

mijicaの凄いところ見っけ。取引履歴照会の判例が、

西暦の場合 例:「1990年1月1日」→「19900101」
和暦の場合 例:「昭和5年1月1日」→「050101」

えっ、昭和5年? https://t.co/NVfHJcUrVG

2020.09.26 16:07:00

1