楽天銀行のセキュリティ対策、特にパスワードシステムがイケてない点について
私は楽天銀行を使っています。
もともとはネット銀行を利用したくてイーバンク銀行を使っていたのですが、いつの間にか楽天に買収されていて、結果的に楽天銀行を使う形になっています。
で、イーバンク銀行のころからなんですが、ここのパスワードシステムが実にイケてないのですね。
まず、パスワード忘れの際には基本的に郵送での対応しかしてくれません。
そのため、パスワードを忘れると、数日の間ログインができなくなります。
今時、銀行であってもパスワードわすれの時に郵送対応でないと対応しないサービスはごく少数でしょう。
郵送対応の何が問題か?
最大の問題は「パスワードは忘れちゃダメだ」と思ってしまうことです。
つまり、パスワードを忘れるとひどいことになるから自衛しないと!と思わせてしまうことです。
起きることはご想像通りです。
まだ、ブラウザのパスワードマネージャに覚えさせるくらいならいいんです。最悪なのは、①忘れない保険としてメモやスマホに残す、②忘れることのないカンタンなパスワードにする、といった行動に走ってしまうことです
郵送対応というのは、現住所でしか郵便物を受け取れないという意味では最強なんですが、その結果として穴だらけのパスワード管理手法を助長するわけで、トータルで考えるとむしろ害の方が大きいと思います。
もう一つの大きな問題は、パスワードの設定があまりに古臭い仕様のままになっていることです。
なんせ、パスワードの最大桁数が12桁です。
大事なことなんでもう一度書きます。最大桁数がたったの十二桁です。13桁以上は設定すらさせてもらえません。
今は2024年です。パスワードは8文字では危険だ、最低が10文字か12文字で15文字以上ならまあ安心かな、と言われています。
また、4種類(英小文字、英大文字、数字、記号)の文字種をすべて使え、というのも古風な話です。
2023年から米国の行政部門での調達条件に使われるガイドラインFIPS 800-63Bという文書が第4版への更新中(現在はドラフト3版)です。
これはいわばパスワードガイドライン(正確には認証方式の管理ガイドライン)で、ここには文字数は15文字以上を推奨し、文字種の強制はすべきでないとなっています。
このガイドラインの2版(10年ほど前に作られた)では文字種はできるだけ多くして、定期的な変更を強制するのがよいと決められていました。
その後、定期変更はよくない(パスワードのパターン化を招く)だとか8文字ではヤバい、最低でも12文字だ、といった研究成果もでてきたため、このガイドライン自身もかなり様変わりしています。
現在の楽天銀行のパスワードシステムは見事にこのガイドラインの2版(10年以上前)の推奨パターンに従っており、まったく時流に合っていません。
楽天銀行には1年以上前にも同様の要望を投げてみましたが、当然ながら改善の様子は見えません。
もう一点、この記事を書くために楽天銀行のサイトを見て、さらに驚愕の事実を知ってしまいました。
楽天銀行のトップページには「セキュリティ」のリンクがあり、いかにもセキュリティを考慮しているかのように見えます。
が、その内容(赤枠の部分)が恐ろしく古くて、腰抜かしそうになりました。
読みにくいので拡大します。
なんすか?これ?
いや、クローズしたサイトや過去のキャッシュじゃないですよ?スクリーンショット取ったのは2024年12月ですよ。
にもかかわらず、最新のお知らせが2016年ってどういうこと?
楽天銀行としては、この8年(ほぼ9年か)は特筆するお知らせがなかったってこと?
信じ難い話なんですが。
ちょっとマニアックな話ですが、お知らせの3つ目にSSL3.0云々があります。これは古い認証方式でヤバい状況になったのがあるから使えないようにするよって話なんですが、2020年あたりにも同様にTLS1.0で同じことが起き、(業界では)ちょっとした騒ぎになったのに、それがナゼ書かれていないのか?
ちょっとドキドキしながら、チェックしてみましたが常識的な対応(TLS1.2以降が有効)で安心しました。
でもですね、お客にそんな心配させる時点で不合格だと思うんですよ。
セキュリティトップページのお知らせが古くて更新されてないことがめちゃくちゃ問題です。セキュリティページの更新にコストをかける気がないって宣言ですからね。
この他にも、セキュリティページの内容を見ていると、ファイル交換ソフトの話がたくさん出てくる(今はめっちゃ下火になってる)など、10年以上前にタイムスリップした印象を受けます。
こんなの見てると、もう楽天銀行やめようかな、と思うわ。
事情はいろいろあるのでしょうが、さっさと時流に合った改善を施してほしいものです。