ジャパンネット銀行のセキュリティ意識にくびをかしげる

ジャパンネットバンクでは「ワンタイムパスワード」が採用されている。
いつも決まった暗証番号だと
例えば使っているパソコンにスパイウェアが入っていた場合
キー操作を読み取られて暗証番号が漏れてしまう可能性があるが、
ワンタイムパスワードは変化し続ける上に再利用ができないので
仮にいま入力したものが人にバレても問題ない。
ここで説明するより、本家による説明の方がいいか。

• ジャパンネット銀行:Japan Net Bank｜ワンタイムパスワードのご案内｜

確かにこの仕組みはスパイウェアやフィッシングなどに強く
単に4桁の暗証番号を入れるだけの仕組みよりずっと安心。
素人だから当たり前だが、これを破る方法はちょっと考えつかない。
システムとしてはよくできていると思う。
システムとしては。
ネット銀行というのはここに限らず
ユーザーに広告メールを送りつけてくる。
やれカードを作れだの花を贈れだのいうやつ。
しばらくは放置していたのだが、
必要ないのでそういうメールは受け取らないよう設定することにした。
そのためにログインして管理画面に行き、
メールを受け取らない設定をしようとして気づいた。
ここでもワンタイムパスワードの入力が求められている。
もう「何かを操作するときにはワンタイムパスワード」
になっているのだろうが、ちょっと待ってほしい。
ワンタイムパスワードを入力するときは、
パスワードを表示する機器「トークン」の液晶画面を見る。
これがないとお金を移動させることができないわけだから、
トークンは一般の銀行での登録印のようなものだ。
だからトークンはそのへんに放置しておくわけにはいかない。
ちょっと見つけにくいところに置いている人が多いのではないだろうか。
ならば、トークンを取り出すのは
ジャパンネット銀行ユーザーにとって最大のリスクを伴う行為。
要らないメールを送らないよう設定するためだけに
それをやらなければならないというのはどうなんだろう。
確かにワンタイムパスワードはよくできた仕組みだが、
仕組みがよくできているために
それを使わせておけば大丈夫、
という感覚で運営されてしまっていないだろうか。
セキュリティに関して最も危険なのは
「こうしておけば大丈夫」という公式を作って
その時点で考えるのをやめてしまうことではないかと思う。
中の人、勝手なこと言ってごめんなさいね。
それはそうといま、
「みんなトークンはこういうところに隠してるよね」と
自分のトークンの置き場所を書きそうになった。
あぶな。