テクノロジー

楽天証券、追加認証の必須化で一部にトラブルか 「無限ループ」「ログインできん」

1: deep_one 2025/06/02 13:18

『メールを確認するためにはアプリを切り替えなければならないが、戻ってくるとワンタイムパスワードが変わっている(異なる候補が表示されている)状況とみられる』事実なら間抜けである。

2: JULY 2025/06/02 14:05

独自方式なんか作らず、一般的に使われている手法を使えばこんな事にならずに、と思う一方、TOTP だとフィッシング対策としては限界があるからなぁ。パスキーが分かりやすく使い勝手が良ければなぁ。

3: mako_cheng 2025/06/02 14:14

iGROWが作りが悪くてiSpeedは問題なく認証できている。多分スマホの生体認証を使う場合は即時ロックなのでそのあたりがアンマッチだと思う。テスト環境は生体認証ロック使ってないと思われ

4: ustam 2025/06/02 14:17

楽天トラベルでも以前酷い不具合あったな。ちゃんとテストしてる?

5: hatebu_admin 2025/06/02 14:22

アホ過ぎて草も生えん。これがわーくにのガラパコス認証の実力やで/中間者攻撃がまず不可能で現状で最善のパスキーを選択肢としてすら出さない金融機関て、財産を守る気ないって事やろ。そんで補償もする気も無しと

6: nyankosenpai 2025/06/02 14:24

イラストを選んでログインする方法、視覚障害でも大丈夫なのかな?

7: maturi 2025/06/02 14:34

無限ループって怖くない?

8: strawberryhunter 2025/06/02 14:40

メールの件名がスパムメールっぽくてスルーしてたけど、31日に本物だとわかって手続した。

9: ykhmfst2012 2025/06/02 15:19

さす楽。全く後先考えず見切り発車した挙句テストはユーザーに丸投げか。いやはやこれに付き合ってる楽天ユーザーは素晴らしいね。

10: fashi 2025/06/02 15:27

どこのやつだったか忘れたけどメモを参照するためにアプリ切り替えると入力内容消えちゃうのあったな…

11: taguch1 2025/06/02 15:38

絶対やると思った。認証のリリースマジで怖い

12: twmw 2025/06/02 15:38

2台必要?また、KOBO送るしかない🤔

13: Falky 2025/06/02 15:43

楽天側のアナウンスからすると、アプリの新規インストールなら問題なく、アップデートで入れた場合だけおかしくなってる…のか?もしそうだとすると、QAで気付きにくいタイプのバグだとは思う。こわいっすね

14: Lat 2025/06/02 15:50

全体では無く一部でトラブルと言うのがよくわからないな。多要素認証の有効期間がアプリだと極端に短いとかなのか?

15: pikopikopan 2025/06/02 16:06

私もログイン出来ない

16: momiji_2 2025/06/02 16:17

メモリが少ないAndroidスマホ使うと2つアプリを開いた時に最初に開いた方が閉じられちゃうんだよね 手持ちのXiaomiのメモリ4GB機でこの挙動を確認した アプリ再インストールしてもログイン出来ない

17: hatest 2025/06/02 16:33

「フィッシングサイト経由だと正しくログインできます!(ただし悪意のある人が)」ってアナウンスまだかな

18: king-zessan 2025/06/02 16:36

「視覚障害でも大丈夫なのかな?」→最近、追加認証のメールに、絵に加えて「ウサギ」など内容を示す語句が入るようになったので、アクセシビリティ面での対処なのだろうと想像している。

19: solidstatesociety 2025/06/02 17:12

入れ替わってる?

20: brusky 2025/06/02 17:30

dアカウントでよくみるやつ

21: Fluss_kawa 2025/06/02 18:14

なんか、facebookのSSOでログインしようとしたらアプリに飛ばされて、アプリから確認をクリックしないといけないけど、クリックしようとすると認証画面閉じないといけなくて詰むやつ同じだな。

22: spaixi 2025/06/02 18:18

追加認証と追加保証金は似ているので、とりあえず名前を変えて欲しい。

23: hayashikousun 2025/06/02 18:37

アプリ切り替えるときに非アクティブにした方のアプリのメモリが解放されてセッションが切れて最初っからになる奴ね。あるある。糞だから二要素認証でメール送りつける仕組みはやめろ。分割画面で対処できるかも。

24: dollarss 2025/06/02 18:40

こうして何度も何度も雑に入力させられる事に慣れたやつを狙うフィッシングも出てくるだろうな。あーまたかー!っていちいち疑う気持ちを萎えさせるのである。

25: taka2071 2025/06/02 18:44

今日の昼12:30前あたりにアプリでこの認証やったけど、普通に入れたよ。

26: ibusuke 2025/06/02 18:49

当たり前に Authenticator アプリに対応して欲しい。

27: hardt 2025/06/02 18:57

ブラウザキャッシュかー?

28: soybeancucumber 2025/06/02 19:09

楽天銀行なんて全ての入力をブラウザが覚えて、パスワード無しにあらゆる過去の入力が保管される糞仕様だからな。セキュリティがばがばすぎるけど金融業営んでいいんか・・・?

29: pendamadura 2025/06/02 19:19

俺ちゃんとNISA出来てんの?

30: rt24 2025/06/02 19:30

究極のセキュリティ対策は誰もログインさせないということ。護身完成というわけじゃよ

31: faaaaa 2025/06/02 19:32

「メールの件名がスパムメールっぽくてスルーしてたけど、31日に本物だとわかって手続した。」←まさかメールから手続きしてないよね…?サイトから手続きするリテラシーあればメールの件名なんて関係ないし…心配だ

32: grusonii 2025/06/02 19:52

タスクキルが強いスマホだと認証出来ないやつ

33: eroyama 2025/06/02 19:53

phishing site側(userがpにaccessしてきたらuがpに入力した情報を、pの運用者(悪人)が使って本物のsにloginする)が, 自分aした本物のsで表示された候補の絵の組み合わせをpに表示する事で突破できるとブコメに書かれてたと思う

34: renu 2025/06/02 20:37

口座持ってるのが怖い。なぜ、よくある6桁コードの2段階認証いれないんだろう。ついでにソフトバンクも請求ページで毎回SMS認証がめんどくさい。日本の大手ITなのにこの辺りのUXに力を入れていないのが残念

35: sgo2 2025/06/02 21:05

TOTPやメール/SMS/電話による多要素認証にフィッシング耐性は無いので対策にならない https://images.app.goo.gl/8wzNT /(追記)なんか唐突に電話認証求められたり認証が通ったり通らなかったりでボロボロですな

36: auto_chan 2025/06/02 21:16

日本のお金系アプリはバックグラウンドからの復帰を意図的に厳しくしているのおもしろい風習よ。そのアプリから外部サイトのマニュアルに飛んだのに戻ってくると手続き最初からやり直しなんてサハンジニチジョー

37: MtAsuka 2025/06/02 21:21

元が数百種類あっても表示されるのは8種類しかないからユーザーに入力してもらわなくても28分の1で正解できるよね。

38: otchy210 2025/06/02 21:25

楽天証券のメインのアプリは、生体認証通してればそのまま使えるので、そこはちゃんとしてる。某赤いメガバンク傘下の証券会社は、生体認証通した後に改めてメール送ってよこす上にそれが1分近く届かない残念仕様。

40: number917 2025/06/02 21:41

アレだな、検証時には誰もアプリ切り替えせずに、PCとかからメール見てたから、見つからなかったダメパターンか

41: brain-box 2025/06/02 21:48

異変を感じたら引き返せば無限ループを終えられるのか?

43: greenbow 2025/06/02 23:14

まあ急いで仕様変えたらこういうことは起きるよね

44: AKIMOTO 2025/06/02 23:19

完璧なセキュリティだ

45: shields-pikes 2025/06/02 23:29

追加認証を「追証」に空目した。

46: nakag0711 2025/06/02 23:47

これが日本のITだ

47: yarumato 2025/06/03 00:14

追加認証って おいしょー って読むのかな。

48: miki3k 2025/06/03 00:26

画面が消えたら再認証するようにわざわざ実装していたアプリは過去いくらかあった。いまさら出てくるとはね

49: osakana110 2025/06/03 00:28

何故頑なに他の証券会社などで採用している認証方式(FIDO認証とか)に対応しないのか? コストか?技術者不足か?

50: favoriteonline 2025/06/03 00:47

IdPとかに任せるようにすればいい気もする

51: mujou03 2025/06/03 00:56

セキュリティ強化って難しいんだね

52: cinq_na 2025/06/03 01:02

Moneytreeとかがいちいちワンタイム要求するのが死ぬほどうざったい(楽天は良い感じに見逃してくれるが、大手証券がダメだ)

53: maniwani 2025/06/03 01:02

DLJディレクトSFG証券→楽天証券になった時に捨てて正解だった。(何年前の話だよ) ウルトラCで、自前の1Password的な「楽天パスワード」とか爆誕させたりして。(使いたくねー)

54: white_rose 2025/06/03 01:13

追証?って読んじゃった

55: inks 2025/06/03 02:00

何か他人事なんで面白いけど、無限ループが自分事になったらハンマーかドリルでPCをあやめたくなるなww

56: kenken610 2025/06/03 02:33

誰もログインできなければ不正利用できずに安心安全だな

57: zbun6ugf9t 2025/06/03 09:58

普通にTOTP方式かパスキー認証でいいのに何でこんな奇をてらった方式にしているのかが理解できない。

58: kibitaki 2025/06/03 11:03

システムトラブルになったらログインできないから安心だね!(白目

59: pptppc2 2025/06/03 11:25

無限ループってこわくね?

60: daybeforeyesterday 2025/06/03 11:53

うーむ

61: kerodon 2025/06/04 12:37

“しかし利用者の投稿を見ると、スマホ上でアプリを切り替えた際に再度、図柄の候補が読み込まれている模様。メールを確認するためにはアプリを切り替えなければならないが、戻ってくるとワンタイムパスワードが変わ