これはいい。実際それくらいリスクに差があるんだからしゃーないね
多要素認証でもダメってことみたいですね。これでパスキーの導入が進むでしょうか
セキュリティに詳しくないならスマホでパスキーオンリー。PC使うならハードウェアkey標準にしないと怖くて無理だよー。
地方税共同機構も、エルタックスでワンタイムパスワードを使うのをやめて欲しい。そもそも、他者の口座で自社の従業員の住民税を払う(明らかにバレる)ヤツがいるはずないし。
自分のSBIの口座はFIDO認証にしてるんだけど、それでもこれだけ被害が出てるということは、FIDOなら安心てわけでもなさそうという気がしている
“多要素認証は、攻撃者がID、パスワードと同時にワンタイムパスワードも窃取して認証を突破する「リアルタイムフィッシング」という手口で破られるリスクがある”
金を直接引き出せるネット銀行よりログイン厳しくする理由がよくわからない。
パスキーに対応すれば全部良くなるとは言わないけどパスキー対応は前提にしないとダメだよなあ…
きっつー。今忙しいから後にしてくれないかな。
普通は登録してある口座にしか出金できないんじゃないの?
金を直接引き出すのは引き出し口座から追えるけど、株式市場を介して閑散株の価格を操作すれば誰が買うなり売るなりしたか分からないからじゃない?(市場や証券会社に聞けば分かる気がしてきた)
口座数1.2位を争う楽天がフィッシングの温床であるメールを使ってるからな、金融庁たまには仕事してくれ。楽天は顧客の金より3年ほど前契約してきたバンクガードと言う会社の契約保持のが大事みたいだから
人のハックには耐えられない
ネット銀行なんかより遥かに大量に金を回せて他に影響するから比べものにならん 信用取引とか全く知らん人なんだろうけど証券口座から金がなくなるだけの話じゃ無いよ 不思議でも何でも無い
ツータイムですね
銀行と比べて、入ってる金額が大きい人もいるし、海外のクソ株買わされて、犯人が売り抜けても逮捕難しいし、損害賠償請求もできないから、厳しくするのは賛成
めんどくさい。。。 スマホの認証じゃダメなの?その端末からしか確認できませんみたいな
ブルームバーク端末レベルにすれば文句言われないと思う
“フィッシングに耐性のある多要素認証の例には、認証方式の国際標準化団体であるFIDO Allianceが推進する「パスキー」や、PKI(公開鍵基盤)をベースとした認証”
認識が甘すぎ。証券会社のようなお金にダイレクトに関するところは、今どきそんな甘いことをいっている場合じゃないですよ。「パスワード認証は原則廃止。今後はパスキーのみをサポート」にしないとだめですよ。
楽天証券がこの新指針にしたがってパスキーになったら胸アツ。
snsの放置アカみたいに、いつの間にか乗っ取られて、本人死んでるみたいな状態になってたら規模によってはBOTが株価操作できるよなあとか。
これを期にパスキーの使い勝手がよくなるといいけど、なにしろ金融機関がやることなので、その逆になりそうな懸念が。本命はマイナンバーカードでの認証だなー。普及させて欲しい。
(パスキーはさておきPINコードが安全な理由、いまだわからん。)/追記 調べた。〔周回遅れ〕
馬鹿みたいに難易度の高いパスを要求する業者は滅べ/無意味だろそんなの/
IPOマニアとしては、毎回ワンタイム入れるの死ぬほど面倒。固定IP位は把握して欲しい。
ログインが複雑になるほどPCやスマホにまでパスワード貼り付けちゃう人が増えるしさ。パスキーがいいんじゃないかな。個人の能力に頼らせないスタイル。
サーバ認証も機械的にやらないとフィッシングには無力だもんね。パスキーは妥当。同時にマネフォとかIPベースで許可する仕組みや情報取得用API連携の用意を義務付けるなどもしてほしいところ。
今回、デイトレーダー向けか自動取引か何かのがあってそこで被害みたいな話なかったっけ?(ぼんやり。)ヘビーユーザーのためにセキュリティ水準を引き下げてリテラシーの低い一般ユーザーが被害に遭いやすくなるの
簡単に外国株式買えるのがマズいんじゃないかと🤔
絵文字による追加認証も禁止の対象ですかね? 楽天証券のアレはログインプロセスがクッソ面倒くさいのでどうにかしてほしい。
パスワードマネージャーがURLを認識してログイン情報の自動表示してくれるから、フィッシングサイトに誘導されてもログイン情報が自動的に表示されない時点で怪しいと思うはずなんだけど、その辺の疑いがないのかな?
銀行口座はいうて口座額=最大被害額で金持ちでも数千万~億程度?だし被害者は本人と銀行。対して証券は億単位の取引が『普通』でまぎれちゃうし空売り等で口座額以上の取引も可能なうえ市場混乱の可能性アリという
証券口座は入ってる額が桁違いだから被害が大きくなるということではないかな。
社長が二段階認証すら知らなかったセブンペイの記者会見から、今月でちょうど6年。不正発達のスピードに、対策が追い付いていない。P.ヴィリリオの速度学(ドロモロジー)などを思い出す。
「リアルタイムフィッシング」
記事内容読んだら妥当な対応に思えるけど、日経もうちょいタイトル何とかならんかったんか。
「ただし取引については、フィッシングに耐性のある多要素認証を必須にしていない」え?
リアルタイムフィッシングであっても、ドメイン名きちんと確認せずに手続きしちゃうユーザーに結構な落ち度がある気もするが。パスワードマネージャーは動かないだろうし。
パスキーは、設定した時のドメインでしか機能しないので、偽サイトが作れない。
またログイン方法変わるのかな。コロコロ変えられると面倒くさいけど言ってる場合じゃないか
フィッシング対策ならコレで十分な気もしなくはない(サイトを検証してくれる/パスキーに比べると強制力が無い分弱いが) https://direct.bk.mufg.jp/secure/rapport.html
いまだに DMARC p=reject にしてない証券会社なんていたのマジか
パスキーだけにしても近接性チェックが甘い実装だとユーザーがよく考えずに認証してしまうのは避けられないからな…
そもそもユーザの多くがスマホからログインする現状ワンタイムパスワードは多要素認証でもなんでもないんだよな。昔ネット銀行で使われてたパスワードカード復活ある?(ない)
パスキー実装試してみないとなー
アグリゲーションサービスがどんどん使い物にならなくなる。単なる残高・取引履歴確認と実際の取引を分けて考え、複雑化させるのは後者だけにしてほしい。
リアルタイムフィッシングに対抗するには、ユーザが入力する情報に頼らない認証ということでいま使える方式だとパスキーに行き着くのは必然かと。
パスワードの定期変更を求めてくるセキュリティ周回遅れの大手銀行もついでになんとかなって欲しい
サービス提供者側が取れる手段って今だとパスキーくらいしかないよな
楽天はAuthenticater対応にしないのはなぜなんだぜ?
少なくともSMS認証はセキュリティ弱すぎるよなあ
銀行口座は最悪補償として預金額分戻せば済むが、証券は元に戻せないからな
パスワード泥棒、猫パンチにゃ!もうボクの可愛い肉球🐾じゃ止められないにゃ!
給与日が近いからかヤフーメールや詐欺電話がかかってきた。
リアルタイムフィッシングで破られる恐れがあると。
安全策 ちょっと困りそう パスキーは生体認証かデバイス端末認証だから不安 端末壊れたら詰みそう 証券口座持ってないから当面は乗り切れるかな 銀行口座もパスキーになったら予備端末を用意するしないと危険かな
一般のユーザー向けにはスマホのアプリ限定で特別に申請しないとWebインターフェイスを使えない設定にできれば多くのフィッシングは避けれれると思う。
“相次ぐ証券口座乗っ取り被害を受け、「フィッシングに耐性のある多要素認証」を必須”「パスキー」や、PKI(公開鍵基盤)をベースとした認証
ああこれでパスキーが普及するなら楽でいいなあ。iPhone にマイナカード入るようになったからマイナカード認証でもいいぞ
銀行振込は上限がデフォルト50万円、設定可能な最大でもせいぜい1,000万円ぐらいだからでしょ? ネット証券の、しかも売買はそういうわけにいかないからね。
バックドア禁止じゃないんだ
id:chocolatedisco1053 記事を読めば、普通に金融庁もこの方針を支持して進めてることが分かるはずだが。記事タイトルしか見ないと、デマに踊らされる人間の一丁上がりになるわけだな。
証券会社や各メディアから散々警告出されてるのに、それでも騙される人のためにここまでやる必要あるのかねえ
ひえーーー
タイトルだけでワンタイムの何がダメなのか判らなかったけど、リアルタイムフィッシングだと確かになあ
ワンタイムパスワードを送ります。心当たりのない方はこちらhttp〜とリンクを踏めばそれフィッシング詐欺サイトだから。正しくは詐欺に利用されている。
パスキーへの移行はわかるけどさ
インフォスティラーにCookie抜かれて入られるような。攻撃する側に解析されてしまえば、パスキーで使われる端末情報ごと持って行かれるか、遠隔操作されて使われる。攻撃のハードルを上げるから対策にはなっているか。
こういう時のためのマイナンバーカード(となるはずなのでは)
素晴らしい。リアルタイムフィッシングに弱いのでワンタイムパスワードでは不十分。URLを確認するリテラシーがない人は少なくない。
"金を直接引き出せるネット銀行よりログイン厳しくする理由がよくわからない" ← 被害者口座にゴミ株を高く買わせる事で間接的な出金が可能。かつ、普通に銀行で出金するより追跡が困難というのはあるかも
パスキーの必要性と利便性への理解が順調に増えてるようで良い傾向だ。
楽天証券のイラストのはワンタイムパスワードになるのかな? 何回もできるなら弱いよな〜
被害が出れば信用を失うし補填をすれば証券会社が直接の被害を被るから、被害の拡大している現状ではこんなこと言われる前に対策するのが当然ではある。現段階ではパスキーが有効だがいずれ攻略される。
手軽さの代償
今は電話番号認証サービスで、電話を掛けてからログインしている。
Amazonなどの通販がメールアドレスを住所に併記するのやめてほしい。あれ何のためなん?
流動性のクソ低い401Kが輝く展開になろうとは https://bit.ly/46iea8D
メガバンクみたいにワンタイムパスワードを発行する専用機器の配布を義務付ける感じになるのかな。これならメールアカウントがハックされてても防げる。
この程度をむしろ未だにやってないのがおかしいんやで
ワンタイムパスワードは原則禁止へ、日本証券業協会が証券口座乗っ取り対策の新指針
これはいい。実際それくらいリスクに差があるんだからしゃーないね
多要素認証でもダメってことみたいですね。これでパスキーの導入が進むでしょうか
セキュリティに詳しくないならスマホでパスキーオンリー。PC使うならハードウェアkey標準にしないと怖くて無理だよー。
地方税共同機構も、エルタックスでワンタイムパスワードを使うのをやめて欲しい。そもそも、他者の口座で自社の従業員の住民税を払う(明らかにバレる)ヤツがいるはずないし。
自分のSBIの口座はFIDO認証にしてるんだけど、それでもこれだけ被害が出てるということは、FIDOなら安心てわけでもなさそうという気がしている
“多要素認証は、攻撃者がID、パスワードと同時にワンタイムパスワードも窃取して認証を突破する「リアルタイムフィッシング」という手口で破られるリスクがある”
金を直接引き出せるネット銀行よりログイン厳しくする理由がよくわからない。
パスキーに対応すれば全部良くなるとは言わないけどパスキー対応は前提にしないとダメだよなあ…
きっつー。今忙しいから後にしてくれないかな。
普通は登録してある口座にしか出金できないんじゃないの?
金を直接引き出すのは引き出し口座から追えるけど、株式市場を介して閑散株の価格を操作すれば誰が買うなり売るなりしたか分からないからじゃない?(市場や証券会社に聞けば分かる気がしてきた)
口座数1.2位を争う楽天がフィッシングの温床であるメールを使ってるからな、金融庁たまには仕事してくれ。楽天は顧客の金より3年ほど前契約してきたバンクガードと言う会社の契約保持のが大事みたいだから
人のハックには耐えられない
ネット銀行なんかより遥かに大量に金を回せて他に影響するから比べものにならん 信用取引とか全く知らん人なんだろうけど証券口座から金がなくなるだけの話じゃ無いよ 不思議でも何でも無い
ツータイムですね
銀行と比べて、入ってる金額が大きい人もいるし、海外のクソ株買わされて、犯人が売り抜けても逮捕難しいし、損害賠償請求もできないから、厳しくするのは賛成
めんどくさい。。。 スマホの認証じゃダメなの?その端末からしか確認できませんみたいな
ブルームバーク端末レベルにすれば文句言われないと思う
“フィッシングに耐性のある多要素認証の例には、認証方式の国際標準化団体であるFIDO Allianceが推進する「パスキー」や、PKI(公開鍵基盤)をベースとした認証”
認識が甘すぎ。証券会社のようなお金にダイレクトに関するところは、今どきそんな甘いことをいっている場合じゃないですよ。「パスワード認証は原則廃止。今後はパスキーのみをサポート」にしないとだめですよ。
楽天証券がこの新指針にしたがってパスキーになったら胸アツ。
snsの放置アカみたいに、いつの間にか乗っ取られて、本人死んでるみたいな状態になってたら規模によってはBOTが株価操作できるよなあとか。
これを期にパスキーの使い勝手がよくなるといいけど、なにしろ金融機関がやることなので、その逆になりそうな懸念が。本命はマイナンバーカードでの認証だなー。普及させて欲しい。
(パスキーはさておきPINコードが安全な理由、いまだわからん。)/追記 調べた。〔周回遅れ〕
馬鹿みたいに難易度の高いパスを要求する業者は滅べ/無意味だろそんなの/
IPOマニアとしては、毎回ワンタイム入れるの死ぬほど面倒。固定IP位は把握して欲しい。
ログインが複雑になるほどPCやスマホにまでパスワード貼り付けちゃう人が増えるしさ。パスキーがいいんじゃないかな。個人の能力に頼らせないスタイル。
サーバ認証も機械的にやらないとフィッシングには無力だもんね。パスキーは妥当。同時にマネフォとかIPベースで許可する仕組みや情報取得用API連携の用意を義務付けるなどもしてほしいところ。
今回、デイトレーダー向けか自動取引か何かのがあってそこで被害みたいな話なかったっけ?(ぼんやり。)ヘビーユーザーのためにセキュリティ水準を引き下げてリテラシーの低い一般ユーザーが被害に遭いやすくなるの
簡単に外国株式買えるのがマズいんじゃないかと🤔
絵文字による追加認証も禁止の対象ですかね? 楽天証券のアレはログインプロセスがクッソ面倒くさいのでどうにかしてほしい。
パスワードマネージャーがURLを認識してログイン情報の自動表示してくれるから、フィッシングサイトに誘導されてもログイン情報が自動的に表示されない時点で怪しいと思うはずなんだけど、その辺の疑いがないのかな?
銀行口座はいうて口座額=最大被害額で金持ちでも数千万~億程度?だし被害者は本人と銀行。対して証券は億単位の取引が『普通』でまぎれちゃうし空売り等で口座額以上の取引も可能なうえ市場混乱の可能性アリという
証券口座は入ってる額が桁違いだから被害が大きくなるということではないかな。
社長が二段階認証すら知らなかったセブンペイの記者会見から、今月でちょうど6年。不正発達のスピードに、対策が追い付いていない。P.ヴィリリオの速度学(ドロモロジー)などを思い出す。
「リアルタイムフィッシング」
記事内容読んだら妥当な対応に思えるけど、日経もうちょいタイトル何とかならんかったんか。
「ただし取引については、フィッシングに耐性のある多要素認証を必須にしていない」え?
リアルタイムフィッシングであっても、ドメイン名きちんと確認せずに手続きしちゃうユーザーに結構な落ち度がある気もするが。パスワードマネージャーは動かないだろうし。
パスキーは、設定した時のドメインでしか機能しないので、偽サイトが作れない。
またログイン方法変わるのかな。コロコロ変えられると面倒くさいけど言ってる場合じゃないか
フィッシング対策ならコレで十分な気もしなくはない(サイトを検証してくれる/パスキーに比べると強制力が無い分弱いが) https://direct.bk.mufg.jp/secure/rapport.html
いまだに DMARC p=reject にしてない証券会社なんていたのマジか
パスキーだけにしても近接性チェックが甘い実装だとユーザーがよく考えずに認証してしまうのは避けられないからな…
そもそもユーザの多くがスマホからログインする現状ワンタイムパスワードは多要素認証でもなんでもないんだよな。昔ネット銀行で使われてたパスワードカード復活ある?(ない)
パスキー実装試してみないとなー
アグリゲーションサービスがどんどん使い物にならなくなる。単なる残高・取引履歴確認と実際の取引を分けて考え、複雑化させるのは後者だけにしてほしい。
リアルタイムフィッシングに対抗するには、ユーザが入力する情報に頼らない認証ということでいま使える方式だとパスキーに行き着くのは必然かと。
パスワードの定期変更を求めてくるセキュリティ周回遅れの大手銀行もついでになんとかなって欲しい
サービス提供者側が取れる手段って今だとパスキーくらいしかないよな
楽天はAuthenticater対応にしないのはなぜなんだぜ?
少なくともSMS認証はセキュリティ弱すぎるよなあ
銀行口座は最悪補償として預金額分戻せば済むが、証券は元に戻せないからな
パスワード泥棒、猫パンチにゃ!もうボクの可愛い肉球🐾じゃ止められないにゃ!
給与日が近いからかヤフーメールや詐欺電話がかかってきた。
リアルタイムフィッシングで破られる恐れがあると。
安全策 ちょっと困りそう パスキーは生体認証かデバイス端末認証だから不安 端末壊れたら詰みそう 証券口座持ってないから当面は乗り切れるかな 銀行口座もパスキーになったら予備端末を用意するしないと危険かな
一般のユーザー向けにはスマホのアプリ限定で特別に申請しないとWebインターフェイスを使えない設定にできれば多くのフィッシングは避けれれると思う。
“相次ぐ証券口座乗っ取り被害を受け、「フィッシングに耐性のある多要素認証」を必須”「パスキー」や、PKI(公開鍵基盤)をベースとした認証
ああこれでパスキーが普及するなら楽でいいなあ。iPhone にマイナカード入るようになったからマイナカード認証でもいいぞ
銀行振込は上限がデフォルト50万円、設定可能な最大でもせいぜい1,000万円ぐらいだからでしょ? ネット証券の、しかも売買はそういうわけにいかないからね。
バックドア禁止じゃないんだ
id:chocolatedisco1053 記事を読めば、普通に金融庁もこの方針を支持して進めてることが分かるはずだが。記事タイトルしか見ないと、デマに踊らされる人間の一丁上がりになるわけだな。
証券会社や各メディアから散々警告出されてるのに、それでも騙される人のためにここまでやる必要あるのかねえ
ひえーーー
タイトルだけでワンタイムの何がダメなのか判らなかったけど、リアルタイムフィッシングだと確かになあ
ワンタイムパスワードを送ります。心当たりのない方はこちらhttp〜とリンクを踏めばそれフィッシング詐欺サイトだから。正しくは詐欺に利用されている。
パスキーへの移行はわかるけどさ
インフォスティラーにCookie抜かれて入られるような。攻撃する側に解析されてしまえば、パスキーで使われる端末情報ごと持って行かれるか、遠隔操作されて使われる。攻撃のハードルを上げるから対策にはなっているか。
こういう時のためのマイナンバーカード(となるはずなのでは)
素晴らしい。リアルタイムフィッシングに弱いのでワンタイムパスワードでは不十分。URLを確認するリテラシーがない人は少なくない。
"金を直接引き出せるネット銀行よりログイン厳しくする理由がよくわからない" ← 被害者口座にゴミ株を高く買わせる事で間接的な出金が可能。かつ、普通に銀行で出金するより追跡が困難というのはあるかも
パスキーの必要性と利便性への理解が順調に増えてるようで良い傾向だ。
楽天証券のイラストのはワンタイムパスワードになるのかな? 何回もできるなら弱いよな〜
被害が出れば信用を失うし補填をすれば証券会社が直接の被害を被るから、被害の拡大している現状ではこんなこと言われる前に対策するのが当然ではある。現段階ではパスキーが有効だがいずれ攻略される。
手軽さの代償
今は電話番号認証サービスで、電話を掛けてからログインしている。
Amazonなどの通販がメールアドレスを住所に併記するのやめてほしい。あれ何のためなん?
流動性のクソ低い401Kが輝く展開になろうとは https://bit.ly/46iea8D
メガバンクみたいにワンタイムパスワードを発行する専用機器の配布を義務付ける感じになるのかな。これならメールアカウントがハックされてても防げる。
この程度をむしろ未だにやってないのがおかしいんやで