ユーザーブロマガは2021年10月7日(予定)をもちましてサービスを終了します

  • 【ICT用語辞典 番外編1】銀行のセキュリティがガバガバすぎる! ドコモ口座以外も要注意

    2020-09-14 23:301

    金融システムは狙われやすいので,他システムよりもちゃんとセキュリティ考えて欲しいですね。

    【ICT用語辞典 番外編1】銀行のセキュリティがガバガバすぎる! ドコモ口座以外も要注意

    ---- SKA’s blomaga written on 2020/09/14 ----

    はいみなさんこんにちは。SKA’s blomagaへようこそ。この記事はICT用語をゆる〜く解説する「ICT用語辞典」の番外編で,今回は用語解説ではありません。また,長くなったことも含め諸事情により今回はバーチャル版動画はありません。

    前置き

    今日のテーマはこちら。「銀行のセキュリティがガバガバすぎる! ドコモ口座以外も要注意」てことで,

    何が言いたいのかって話をしますと,
    ニュースではドコモ口座が悪いかのような報道がされていて,しかも一時的な対策としてドコモ口座との連携を中止したという話を聞きましたが,
    この問題は圧倒的に銀行のセキュリティが悪いんですよ。もちろんすべての銀行が悪いわけではなくて,主に地方銀行とか,今回被害に遭った銀行のことです。

    で,そういうことなので,ドコモ口座との連携を止めたところで,銀行のセキュリティが改善されるまでは他サービス経由で同様の被害が出ますよって話です。

    ちょっと過激なことを言うとですね,「ドコモが悪い」とか「ドコモ口座との連携を止めたので安心してください」とか言ってる銀行があったら,その銀行は絶対に信用してはいけないってことです。

    ○○Payの仕組みって?

    ではまず,ドコモ口座は若干違いますが,流行りのQR決済がだいたいどういう仕組みかって話をしたいと思います。

    登場人物は4人です。利用者と金融サービスと銀行とお店とかですね。ちなみに,この動画ではドコモ口座だとかQR決済みたいなサービスを金融サービスと定義します。

    利用者は金融サービスに対して,アカウントを作成することと,ログインして各種操作をすることができます。
    金融サービスは銀行に対して,連携することができます。
    銀行は金融サービスに対して,お金をあげるというか引き出すことができます。
    最後に,金融サービスはお店とかに対して,決済や送金ができます。

    だいたいこんな感じになってます。

    ところでですね,去年問題になった「7Pay」はこの図のどこが悪かったのでしょうか。

    答えを言ってしまうと,ここですね。ログインに問題がありました。
    具体的には2段階認証になってなかったので,別の人が自由にログインできるようになっていました。

    2段階認証って?

    2段階認証って何か気になる人もいると思うので,説明したいのですが,そのためにまずログインって何なのかって話をしますね。

    ログインは自分専用のデータにアクセスしたり,自分専用の操作をするための認証のことです。
    例えば,SNSや動画共有サイトでログインしなくても公開されている他人の投稿は見れますよね。でも,自分が投稿したり,コメントしたり,いいねしたりっていう自分にしか許されていない行為はログインしないとできないですよね。まぁそういう感じです。

    なので,ログインには「自分にはあって他人にはないもの」が必要です。
    例えばパスワードは「自分には分かって他人には分からない知識」のように一見思えますよね。それでよく使われるのですが,パスワードってランダムではなくて偏りがかなり大きいんですよ。
    例えば,よくわからないから「1234」にする,とか,探索ゲームでよくありますが,好きな人の誕生日にする,とかですね,まぁ人間が考えるので,けっこうな確率で他人と同じ考え方で作られたパスワードになります。
    なので,戦略的にテキトーな文字列入れれば,わりと通ったりします。

    よって,パスワードだけでは「自分にはあって他人にはないもの」とは言えないので,別のものを用いて「自分にはあって他人にはない」ことを証明しないといけないわけですね。それが2段階認証です。

    2段階認証にもいくつかあるのですが,有名なものは「ワンタイムパスコード」ですね。これは自分しか持っていないモノに対して一定時間の間しか使えない乱数を送る方式です。

    これも2つあって,ひとつはSMS認証ですね。
    SMSは電話番号を使って短いテキストを送れるサービスで,それを使って乱数を送ります。電話番号はモバイル回線を契約するときにスマホやモバイルルーターに入れるSIMカードにひもづいています。なので,「自分は持っていて他人は持っていないSIMカード」である可能性が非常に高いと言えます。

    もうひとつはアプリ認証ですね。
    同様に一定時間しか使えない乱数を使うのですが,SMSではなく専用のアプリを使います。この場合「自分は持っていて他人は持っていない端末」であることが非常に高いと言えます。

    ただ,誤解しないでいただきたいのですが,このワンタイムパスコードで言えるのは「アカウント作成時に持っていたモノを持っているかどうか」でしかないので,アカウント作成時の本名や年齢といった身分確認には使えません。

    ドコモ口座の問題点は?

    7Pay問題で話題になった2段階認証はそういうものです。このあとまた2段階認証の話が出てくるので説明しましたが,ドコモ口座の話に戻ります。
    ドコモ口座問題はどこが悪かったのでしょうか。

    ここ,アカウント作成も若干怪しいところではあったのですが,
    主にはここ,銀行口座と連携する処理の銀行側です。
    〇〇Payみたいなプリペイドサービスを使ったことある人は分かると思いますが,コンビニで入金したりとか色々ありますが,銀行口座から入金することもできますよね。「この口座から引き下ろしてね」って言うわけですけど,そのときの銀行側の承認があまりにもガバガバすぎる状態の銀行があまりにも多かったわけです。

    具体的にどうガバガバだったのかと言うと,口座名義と口座番号と暗証番号が一致していれば連携できたんですね。加えて生年月日も必要な銀行も被害出ましたが,まぁはい,ってところです。

    いちおう言っておくと,名義は例えば佐藤さんとかですけど,この名前の人が多いみたいな統計ってありますよね。
    口座番号や生年月日は決まった形式です。
    暗証番号なんてたった数字4桁で,これもこの数字が人気みたいな統計があります。
    ようはただのパスワードと同じく「自分にはあって他人にはないもの」ではないんですね。

    あとは「暗証番号は3回間違えたら終わりなんだから大丈夫でしょ」って思う人がいるかもしれませんが,大丈夫なんてことはありません。
    ひとつは暗証番号を固定して口座番号を変えて試せばいいですね。例えば,暗証番号が「1234」の「山田太郎」さんの口座番号はこれかなー,こっちかなーって総当たりすればいいですね。
    もうひとつは情報漏洩してしまった口座情報を使えばいいですね。今回はどちらだったのか,あるいは両方組み合わせてきたのか,まだ分かりませんが,
    ぶっちゃけこれはどっちでもいい話です。
    どちらにしろ銀行が「他人が自由にお金を引き出せる状態」にしていたことに変わりはないので。

    対策は?

    では今回被害が出てしまった銀行はどう対策するべきでしょうか。

    結論を言うと,ATMと同じ状態にすればいいですね。
    ATMはキャッシュカードや通帳が必要ですよね。これはもちろん「自分は持っていて他人は持っていないキャッシュカードや通帳」っていう状態になります。つまりワンタイムパスコードと本質的に同じなんですよ。
    なので,ワンタイムパスコードを圧倒的に導入すべきです。

    そもそもの話なんですけど,「2段階認証が通らないとオンラインバンキングできない」っていうくらいのことすべきだったんですよね。
    逆に今までがキャッシュカードや通帳がなくても使えるATMみたいな状態だったんですね。
    名前と口座番号と暗証番号を入れたら,その口座から自由に引き出せるATMがあったらどうしますか? まぁ私は人の金を引き出そうとは思いませんが,ガチャみたいな感覚でこの名前と口座番号と暗証番号で引き出せるかって挑戦する人が出てくるのではないでしょうか。実際にそういう人が出てきたから,今回被害が出たわけです。

    では今回被害が出てしまった銀行の利用者はどう対策するべきでしょうか。というかそれは私のことなので,考えてみました。

    さっき図で説明した通り,銀行口座と連携する部分のセキュリティがガバガバなので,逆にすべての金融サービス,例えばLINE PayとかPayPayとかと銀行口座を連携させてしまえばいいです。
    なぜなら,普通にデータベース設計したら2重連携はできないからです。
    例えば,太郎さんが太郎さんの口座をドコモ口座と連携させた後に,第三者の次郎さんが太郎さんの口座をドコモ口座と連携しようとしても,できないはずなんですよ。
    そこが今回の問題の面白いところですね。ドコモ口座をすでに使っていた人は被害に遭わないはずなんですね。逆にドコモ口座を使ってない人のお金が勝手に盗まれていました。
    なので,すべての金融サービスと銀行口座を連携させれば,同じ手口では盗まれなくなりますが,もちろん時間のムダですし,いろいろな場所に口座情報を提供するので,情報漏洩のリスクが増し増しになります。
    あるいはそのときに偽サイトにアクセスしてしまったら確実に悪用されます。
    Web検索サービスってトップに広告欄がありますよね。広告も検索結果と同じ形式で表示されてますよね。つまり,偽サイトが検索サービスに広告を出せば,検索結果のトップは公式サイトですが,さらにその上に偽サイトが表示されますからね。
    たった3か月前にもWeb会議のZoomの偽サイトが広告でトップに出てたっていうことがあったので,フィッシングのリスクを考えたら,すべての金融サービスと連携するっていうのはやらないほうがまだ安全だと思います。

    次に,銀行がシステム改善するのを待つっていう方法があります。
    でもそもそも信用できますか?
    さっきも言いましたが,「情報漏洩してしまった口座はどうぞ世界中の人ご自由にお使いください!」って言っていた銀行ですよ。直接言ってないですけど,そう言ってたと同義のことをしてますからね。まぁそういう精神論はおいておくとして,
    システム改善を待っている間に被害に遭う可能性があります。悪いのは銀行なので,ドコモ口座以外の,例えばLINE PayとかPayPayとかでも同じ手口が使えます。なので,待っている間に被害に遭う可能性があります。

    最後に,セキュリティのしっかりした銀行を使うっていう方法があります。それが一番確実ですね。それこそLINE PayとかPayPayとかのサイトに「口座登録のやり方」みたいなヘルプページがあって,そこに「必要なもの」が書いてあります。必要なものにSMSとか専用のアプリがある銀行はちゃんと考えているってことです。
    まぁそうは言ってもいろいろな手続の関係上,銀行口座って簡単には変えられないですよね。そういう場合でも少なくとも「0000」とか「1234」みたいな暗証番号の人は今すぐに変更したほうがいいです。

    まとめ

    ということで,今日はICT用語辞典の番外編ってことで,今話題のドコモ口座問題に関して,情報システムの観点で,主に銀行のセキュリティについてお話させていただきました。

    まとめると,認証の基本は,知識でも物理的なモノでもあるいは体,例えば指紋認証とか顔認証みたなものでもなんでもいいんですけど,とにかく「自分にはあって他人にはないもの」でなければならないってことですね。

    パスワードはみんな似たような考え方をしてしまうので,他人にはない知識とは言いがたいです。なので,2段階認証しないと認証の基本を満たせません。

    今回これだけ被害が出たので,認証の基本すら満たせていないあまりにもガバガバな銀行があまりにも多かったってことが分かりましたね。

    もちろん銀行側の欠陥なので,今後ドコモ口座以外のサービスを使って,似たような被害が出る可能性があります。

    これは今回の問題の面白い点ですが,ドコモ口座をすでに利用していた人は被害に遭っていないはずです。逆に,ドコモ口座を使っていない人が被害に遭っています。

    最後に,各種QR決済の「口座登録の仕方」みたいなページを見ると,各銀行のセキュリティレベルが分かります。これから新規に口座を作る人はそういうところを確認しましょう。

    感想

    はいということで,技術的な話以外しないと言っておきながら,最後に感想というか,この動画を作った経緯なんですが,
    Twitterで2段階認証がって言ってる人がいて,「2段階認証って何を証明するんだったっけ?」って1分くらい考えて,「初回登録のときに持っていたスマホを持っている人かどうか」を判断するためのものだなーって分かって,
    じゃあそもそもログインってなんだろうって考えて,自分だけの操作をするための認証だなって分かって,だから「自分にはあって他人にはないもの」が必要だと再認識できたわけですけど,
    じゃあ銀行はどうなんだろうって考えたら,名前と口座番号と暗証番号だけって他人も知りうる知識だから,「あれ? ドコモドコモって騒がれてるけど銀行が悪くね?」って思って,急遽動画撮ったって感じです。
    何が言いたいかっていうと,情報システムに詳しくて,抽象的な思考ができる人であれば,5分考えれば銀行のシステムがおかしいって気づくわけですよ。
    つまり,今回被害が出た銀行は詳しい人がいなかったか,
    詳しい人に5分すら考える時間を与えさせなかったか,
    詳しい人の意見が潰されるような状況だったか,ってことですね。
    まぁそれ以上は言いませんが,察してください。

    てことで,もしよかったらフォローやコメントしてくれると大変励みになります。
    今回は内容が内容で,銀行関係の人はオコだと思うので,YouTubeの動画に低評価押してもらっても全然構いませんが,暴言や怒りにまかせたコメントは控えていただけると幸いに思います。
    てことで,ではまた!

    素材提供

    • 画像
      • いらすとや
    • 使用フォント
      • 千都フォント「ヒラギノ角ゴ」

    ---- SKA’s blomaga ----

    トップページへ

  • 広告
  • 【ICT用語辞典#2】クラウド(cloud)

    2020-08-30 23:50

    インターネットがあれば,どこでも どの端末でも同じサービスが受けられます。

    【ICT用語辞典#2】クラウド(cloud)

    ---- SKA’s blomaga written on 2020/08/30 ----

    はいみなさんこんにちは。SKA’s blomagaへようこそ。この記事は月に1回 実写動画,バーチャル動画,そして文章の3形態でお送りする「ICT用語辞典」です。他バージョンはこちら↓

    前置き

    先月は先々月の「時代はクラウド」発言で話題になった「サーバー」の概念を茶番動画を含めて説明してみました。

    今月はクラウドの概念を説明していこうと思います。ちなみに群衆(crowd)の方ではなく,雲(cloud)の方のクラウドを説明します。

    言葉の意味

    まず,言葉の意味ですが,今言ったとおりクラウドは英語で,「雲」って意味です。ちなみに略さないと「cloud computing」と言い,「雲の上での情報処理」という意味です。

    なんでなのかと言うと,利用者から見えないもやもやしているものということで,図で表すときにインターネット上の機器で表現していたから,みたいです。

    言葉の意味はさておき,具体的にはどんな感じなのか,クラウドの便利さを表現した茶番アニメーションを作りましたので,見てみましょう。

    具体例 茶番

    その1 どこでも同じデータ

    びん「さーて,今日は旅行に行くぞ!」
    〜移動〜
    びん「明日は旅行動画を編集するし,今日のうちに前の動画を編集しておこ」
    びん「撮影データはクラウドストレージさんにあるから問題なく編集できるね」

    SKA「こうして無事に編集できましたとさ」

    その2 どこでも同じサービス①

    iPhone「ぴんぽん」
    びん「あ,なんかメール来たみたい。返信するのが楽だし,パソコンで見よう」
    びん「なになに? 来週の勉強会のLTの募集ね…… 自然言語処理の話でもしようかな。返信と」

    SKA「スマホとパソコンで同じメールアカウントが使えます」

    その3 スペックが低くても

    びん「今日はお休みの日だし,スマホひとつだけ持って,外出しようかなー」
    SKA「あ,最近コロナひどいので自粛お願いします。あ,行っちゃった……」
    びん「あっ,ちょっと面白い画像処理の手法考えついた。さっそく試してみよ」
    〜スマホでプログラミング〜
    びん「スマホしか持ってきてないからプログラム書けたけど,スペック的に動かせないな…… あ,クラウドさん計算お願い!」

    SKA「例えばスマホのカメラの映像をクラウドに送って,クラウドに物体認識させて,スマホに認識結果を返せば,スペックの低いスマホでもリアルタイムで動く画像認識アプリを作れます」

    解説

    はいという感じです。

    今の例で分かったと思いますが,クラウドというのは「インターネットを通して,どこでもどの端末でも同じサービスが受けられる」ことです。ぶっちゃけ「時代はクラウド」なので,当たり前のことですよね。

    まあ最後の例は茶番なので,外で思いついたプログラムをそのままスマホで書くというおかしな状況ですけど,クラウドで処理することでスマホで重たい動作をさせるというのは日常的なことだと思います。最近だと例えば,顔写真の年齢や性別を変えるアプリがありますよね。まあああいうヤツです。

    ちなみに,「クラウド」という言葉は2006年にGoogleが言い出したのですが,実はインターネット黎明期からネット上でどこでもどの端末からも同じサービスを受けられるっていう構想はあったそうです。ただ,当時はコンピューターの性能やコストの問題があったので普及しませんでした。2006年頃というのは静的なWebページだけではなく動的なWebアプリが盛んになってきて,携帯も普及した時代なので,おそらくこれから流行るだろうと思ったGoogleは商売道具として強そうな名前を付けたんでしょうね。

    じゃあ逆にクラウドが普及してなかった時代はどうだったかと言うと,
    その1では外付けストレージにデータを入れて持ち歩く必要がありました。
    その2ではフォルダー分けが他の端末には反映されなかったり,送信した端末にしか送信済みメールが残らなかったり,ってことがありました。
    その3はスペックが足りなかったら諦めるしかないですよね。
    あとは動画共有サイトもクラウドですよね。それがなければ,動画を公開したい人は自分でサイトを作って動画を公開する必要があります。

    終わりに

    はいということで,ICT用語辞典2回目は「クラウド」についてでした。ソシャゲやSNSもそうですし,みなさんのスマホに入っているアプリのほとんどがクラウドサービスなんじゃないかと思いますが,どうでしょうか。

    てことで,もし良かったらフォローやコメントしてくれると大変励みになります。動画も見てみてください。ではまた!

    具体例 茶番(オチ)

    その4 どこでも同じサービス②

    びん「あぁこの曲いいよねー。あ,でもそろっと料理しないと。」
    びん「アレクサ,ICT用語辞典のBGMかけて」
    アレクサ「はい,ICT用語辞典のBGMを再生します。」

    (ED)ネットを介してどこでもこの動画を再生できる

    素材提供

    • 画像
      • いらすとや
      • きまぐれアフター
    • 使用フォント
      • 千都フォント「ヒラギノ角ゴ」

    ---- SKA’s blomaga ----

    トップページへ

  • 【SKA’s Radio #2】長岡花火バーチャル鑑賞会ありがとうございました

    2020-08-15 20:00

    ヘッドマウントディスプレイでも迫力はありました

    【SKA’s Radio #2】長岡花火バーチャル鑑賞会ありがとうございました

    ---- SKA’s blomaga written on 2020/08/15 ----

    はいみなさんこんにちは。SKA’s blomagaへようこそ。この記事は次の動画のテキストバージョンになります。

    前置き

    予定通り8月3日に長岡花火バーチャル鑑賞会を実施できたので,今日はそのときのお話でもしようと思います。

    告知に関して

    まず,来ていただいた方,本当にありがとうございました。全然人が来ないんじゃないかと思ってたので,むしろ驚きました。
    というのもですね,私はあまり積極的に人と関わるタイプじゃないんですよね。人見知りっていうのもありますし,人に対して不信感が強いっていうのがありますね。なので,フレンドもあまり多くないですし,VRChatやってる人たちのDiscordも入ってないですし,TwitterもまだVRChat界隈の人たちとの繋がりも薄いですし,それで告知手段がないなーって感じだったので,来ても10人くらい,最悪数人かなってくらいに考えてました。
    そしたら,ちゃんと数えたわけではないですけど,同時入室数が20人くらいで,少しだけでも来た人は30人以上はいたと思います。本当にありがとうございました。
    ちなみに,VRChatイベントカレンダーに登録しておきました。あとはフレンドじゃなくても入れるようにpublicワールドにしてました。

    どんなワールド?

    どういうワールドかと言うと,川の土手っぽい場所を作りまして,そこに私が撮影した去年の長岡花火の動画を流れるようにしました。

    目的

    はい,そしてですね,バーチャル鑑賞会で狙っていたことをまさに実現できました。

    1番の目的は例年のように人が集まって花火を見る場所を提供することでした。さきほど言ったようにたくさん来てくれたので,これは達成できたと思います。

    2つ目としてはVRChatのpublicワールドでやるので,外国人にも日本の花火の良さを知ってもらえたらいいなと思ってました。実際に何人か外国人も来ていて,「日本の花火を見たのは初めて」って方もいました。

    最後に,HMDで花火の映像を見るとどうなんだろうって思ってたのですが,わりと迫力がありました。まあでも,所詮sRGBの色域で花火のあの炎色反応の色を再現するのはムリですね。花火なんですけど,なんか花火じゃない,みたいな感覚を味わいました。だから,来年はやっぱりリアルで綺麗な花火の「色」を見たいですね。
    ただ,行ったり帰ったりするのは大変ですからね…… 毎年熱中症の人が出ますし,人混みや渋滞の中帰らないといけないというのは嫌なんですよね。そういう意味ではバーチャル鑑賞会はHMDかぶってVRChat起動するだけで会場に行けて,HMD外せば帰ってこれるっていうのは楽でいいなぁと思いました。

    来年は?

    まぁそうですね,来年はどうするのかって言われると,まだ特に考えていません。8月2日の方をリアルで見に行って,動画編集とワールドの調整を頑張って8月3日にバーチャル鑑賞会やるっていうのもアリなんですが,時間的に間に合うのかなんですよね。8月2日に帰ってから編集して,2,3時間にわたる動画を書き出して,さらにその動画に合わせてワールドの微調整,まあ動画プレイヤーの位置調整なんですけど,それが間に合うのかって言われるとかなり絶望的なんですよね。去年の長岡花火の動画ですら,2日に撮影に行って,夜更かし動画編集して書き出して,3日のお昼頃にアップって感じでしたからね。まあそれは合間の時間をカットしてたりテロップを入れたりしてたからなので,鑑賞会用であればもっと短時間で編集できますけど,そもそも来年の花火は月曜・火曜と普通に平日なので,少なくとも,健康的な睡眠時間を確保したら絶対にムリですね。まあそういうわけで,来年やるのかって言われると,まだ結論は出せません。まだ1年あるので,ゆっくり考えたいと思います。

    終わりに

    ということで,今日は長岡花火バーチャル鑑賞会ありがとうございましたってことで,長々と語らせていただきました。バーチャル鑑賞会のワールドは公開したままですので,VRChatで「nagaoka」とワールド検索すると「Nagaoka Fireworks Virtual Viewing 2020」というワールドが出るので,そこから入れます。ワールドのデータについてはGitHubにて公開しています。私の初めてのワールド制作でしたので,これからワールド制作してみたいって方とか参考にしてみてください。あとはVCI背景化もしたいですね。バーチャルキャストのスタジオとしても使えるようになります。

    てことで,ではまた!

    今日のリンク

    ---- SKA’s blomaga ----

    トップページへ