オンライン・バンキング・サービスを提供するイーバンク銀行は8月6日,同社のログイン画面を9月12日から変更することを発表した。現在は非表示のアドレス・バーとステータス・バーを表示させるとともに,ユーザーがあらかじめ登録したキーワードをログイン時に表示させる。これらにより,ログイン・ページがイーバンクのページであることを確認できるようにする。
2003年以降,米国では「フィッシング」による被害が続出している(関連記事1,関連記事2)。フィッシングとは,有名企業から送られたように見せかけたメールでユーザーを偽のサイトへ誘導し,ログイン・パスワードやクレジット・カードなどを盗むオンライン詐欺。今年になって,国内でも話題になっている。今回同社が実施するログイン画面変更は,フィッシング対策の一環。偽サイトへ誘導された場合に,ユーザーがすぐ気付くようにすることが目的である。
具体的には,まず,現在非表示にしているアドレス・バーとステータス・バーを表示するようにする。ユーザーには,アドレス・バーからURLを,ステータス・バーの「錠マーク」からデジタル証明書を確認するよう勧める。
加えて,キーワードを使ったログイン方法を用意する(デフォルトは,キーワードを使わない従来の方法)。ここでのキーワードとは,イーバンクがユーザーを認証するための文字列ではなく,ユーザーがイーバンクのページであることを確認するための文字列のこと。
あらかじめ,ユーザーはキーワードを登録しておく。ユーザーがキーワードを使ったログイン方法を選択すると,まずは“仮ログイン”するよう要求される。具体的には,ユーザーの口座番号と支店番号,ログイン・パスワードの最初の4けたを入力するよう要求される。これらを入力すると,あらかじめ登録しておいたキーワードが表示される。このキーワードが自分の登録した文字列であることを確認した後,ログイン・パスワードをすべて入力する。
同社では,同様の確認方法を携帯電話からのログインにも適用している。8月8日から提供している「クイックログイン」サービスでは,携帯電話固有のIDを基に,ログイン画面に支店番号と口座番号を表示する。これを見て,ユーザーはそのページがイーバンクのものであることを確認できる。確認後,正しいパスワードを入力すれば,ログインできる。
同社広報によると,今回のログイン画面の変更については同社サイトで既に告知しているが,同社がユーザーに毎週配信しているメール・マガジンなどでも告知する予定。「これらの対策でフィッシングの危険性を軽減できるとは思うが,100%防げるとは思っていない。今後も対策を拡充する予定」(同社広報)だという。今後の対策については現在検討中。近いうちに,その内容を公表する予定である。
ログイン画面や個人情報の入力画面でアドレス・バーを非表示にしているサイトは多い(関連記事)。そういったサイトのユーザーは,アドレスを非表示にした偽サイト(フィッシング・サイト)へ誘導されても気付かない。フィッシングを企てる人物からすれば,格好のターゲットとなる(関連記事)。ユーザーのことを考えれば,少なくともアドレス・バーやステータス・バーは表示するようにすべきだ。
_________________________________________________
提供网上银行服务的日本eBANK银行于8月6日宣布,该公司将在9月12日以后更换登录画面。届时画面上不仅显示目前不显示出来的地址栏和状态栏,还在登录时显示用户预先注册的关键词。通过这些措施,就可以确认登录网页是不是eBANK的网页了。
自2003年以来,美国的“网站仿冒”受害者层出不穷。所谓网站仿冒,就是用貌似知名企业的电子邮件将用户诱导到假冒网站上,窃取登录口令或信用卡的网上诈骗活动。今年以来,在日本也成了人们议论的话题(参阅本站报道)。eBANK此次变更登录画面也是防范网站仿冒的举措之一。其目的是当用户被诱导到假冒网页上时,能马上觉察出来。
具体措施首先是将目前不显示的地址栏和状态栏显示出来。并劝告用户从地址栏确认URL、从状态栏的“锁定标志”确认数字签名。
此外,还提供使用关键词注册的方式(缺省状态下,使用原来不使用关键词的方式)。这里的关键词不是eBANK认证用户的词语,而是用户确认是eBANK网站的词语。
用户预先注册一个关键词。如果选择的是关键词注册方式,首先要求进行“临时登录”。具体步骤是输入用户帐户号码及分行号码、登录口令的前4位。输入这些内容后,就会显示预先注册的关键词。在确认这个关键词是自己注册的词语后,再输入完整的登录口令。
这种确认方法也适用于通过手机进行的登录。从8月8日开始提供的“快速登录”服务是基于手机固有的ID,在登录画面上显示分行号码和帐户号码。看到这些后,用户就可以确定这个页面是eBANK网页。经过确认后,输入正确的口令,就可以登录了。
据该公司宣传部门表示,该公司已就此次登录画面变更在公司网站上发出了通知,并计划在每周向用户发送的邮件杂志等上面也发出通知。“我们认为这些措施可以降低网站仿冒的危险,但也并非万无一失。今后仍将继续加强防范对策”(eBANK公司宣传部)。至于今后的对策,目前还正在研究。预计将在近期内公布有关内容。
很多网站在登录画面和个人信息输入画面上不显示地址栏。这些网站的用户即使被诱导到不显示地址的假冒网站(仿冒网站)上也察觉不到。对于试图进行网站仿冒的人来说,这些都是很好的目标。如果为用户着想的话,至少也应当把地址栏和状态栏显示出来。
日语应试
