ドイツの達人になる 規則、法律

PSD2 オンラインバンキング ログイン時の二重確認

投稿日:

PSD2 オンラインバンキング ログイン時の二重確認

インターネットが我々の生活を快適にしてくれた例のひとつが、オンライン バンキング。

今の世代には、当時の苦労を知らない方が多いかもしれない。当時送金が必要になると貴重な昼休みに銀行に行き、長蛇の列にならんで順番を待った。

オンラインバンキングの導入で、送金の為に長蛇の列に並ぶ必要がなくなった!人為的なミスも、大幅に減った。

ところが便利なものが出ると、これを悪用して金儲けをたくらむ人が出る。そこで欧州ではオンライン バンキング 利用の際の安全規格 “PSD2″を導入した。

オンライン バンキングの安全性

オンライン バンキングの黎明期は、セキュリテイーも簡素なものだった。銀行のホームページにて、口座開設の際に決めたパスワードを入れるだけ。そのパスワードも自分の簡単な名前で登録できた。

ハッカーがコンピューターウイルスを使ってユーザーが使っているパスワードを盗み出し、口座からお金を盗みまで、長くはかかならなかった。

そこで銀行はパスワードを盗まれても、(すぐには)お金を盗まれることのない方法、”tan”を発案した。

“Tan”って何?

“Tan”とは、トランスアクションナンバー /”Transaktionsnummer”の短縮形。送金の確認の際に、パソコンの画面で打ち込む番号で、通常は6桁。一回だけ使える。次回からは別の番号を使用しなけれなならないから、「安全性が高い。」と言われた。

しかしハッカーがコンピューターウイルスを使ってユーザーが使っているパソコンを乗っ取り、口座からお金を盗み出す方法を発案した。言うは容易いが、これは実に複雑な詐欺で、パソコンを乗っ取られた被害者は、全く何も気が付かないほどの、見事な詐欺だった。

“TAN”を使った詐欺

被害者が「あれ?」と思うのは、いつも通りに送金を行うと、これがエラーになること。「”Tan”が間違っています。」というエラーが出るので、今度は別の”Tan”で試す。またしても「”Tan”が間違っています。」というエラーが出るので、今度は別の”Tan”で試す。

何も知らない被害者は、ハッカーが用意している銀行の画面のコピーに”Tan”を打ち込んでいるのだ!注意深く上部のアドレスを見てみれば、銀行のウエブのアドレスではなく、詐欺師のページが置かれているウエブ アドレスになっている。

しかし見た目が瓜二つなので、これに気が付く人はいない。こうしてハッカーは十分な数の”tan”を盗み取ると、本当のウエブから被害者の口座にアクセス、数回に分けて限度額までスペインやルーマニアの口座に送金する。

被害者がこれに気づくのは、次回送金をする際。顔面真っ青になって銀行に相談に行くが、時、すでに遅し。送金されたスペインとルーマニアの口座は解約されており、お金を取り戻すことはできない。

“Tan”ジェネレーター

次に銀行が考えた対策は、”Tan”ジェネレーターという装置だ。

送金の度に短時間有効な”Tan”を作り出す端末で、これはウイルスでパソコンを乗っ取られても、「安全です。」というほどの自信作。私が口座を置いている銀行では、「それでも盗まれたら、銀行が盗まれた金を補填します。」と言っている。

ハッカーがこの”Tan”を盗んで被害者の口座にログイン、あらかじめ用意していた口座に送金をしようにも、時間がかかりすぎ。「”Tanが無効です。」というエラーが出る(筈)で、詐欺は(ほぼ)不可能との事。

その他にも携帯電話を登録しておき、送金の際にはSMSで”TAN”が遅れてくる方法など、銀行によりさまざまなやり方がある。欧州委員会はそれでもまだ十分に安全とは言えないと考えた。そして新しい銀行の安全措置として考えたされたのが、”PSD2″だ。

PSD2

”PSD2″とは”Payment Services Directive 2.”の略称。日本語で言えば、支払いサービス条例 2号。詳しくはドイツ連邦銀行のホームページでご確認いただけます。

参照 : bundesbank.de

名称だけだと何のことなのかわからないので、わかりやすく言えば、オンライン バンキングのログインで(不正を避けるため)本人のダブル認証が必要になった。これは欧州全域で導入されるので、英国でもドイツでも口座を持っている方に該当する。

オンラインバンキング ログイン時の二重確認

これまでのログイン方法では、ユーザー名とパスワードを入れれば、誰でも口座にアクセスできた。アクセスしているのが、ユーザー名とパスワードが盗んだハッカーでも。欧州委員会に言わせれば、これが問題だという。

ハッカーが口座にログインできると、送金時に安全な”Tan”ジェネレーター、あるいは SMS を使って”Tan”を送っても、やり方次第では盗んだ”Tan”を使っての送金が可能になる(そうです)。そこで今回、これまでのオンライン バンキングの最大の弱点である、ログインを強化することにした。

具体的にはログインの際に、これまで通りユーザー名とパスワードを入れる作業に加えて、もう一回、本人確認の作業が必要になる。これには三通りの方法がある。

  1. 登録した携帯電話を安全確認に使う(パソコンから)
  2. “Tan”ジェネレーターを使う(パソコンから)
  3. 6桁のコードで本人確認(携帯電話から)

これだけでは、さっぱりわからないと思うので、順番に説明していこう。

1. 登録した携帯電話を安全確認に使う(パソコンから)

まず銀行のホームページにアクセスして、銀行のアプリを携帯にダウンロードする。アプリを起動して自分の口座にアクセスすると、認証用の6桁の認証番号の入力が必要になるので、あからかじめ忘れにくい番号を考えておこう。

これが済むと携帯が口座保持者の携帯電話と登録される。しかしここで銀行の安全機能がチェックが入り、実際に使えるようになるまで数日かかる。

以後はこの携帯電話ではないと、口座にアクセスできない。ハッカーがアクセス情報をもっていても、この携帯電話でないとアクセスできないから、安全ということらしい。

携帯を登録後、パソコンから口座にログインしようとすると、「登録した携帯から、本人認証をしてください!」と、メッセージが出る。「おお、そうだった!」と大急ぎで携帯の電源を言れ、アプリを起動すると、「本人の認証をしてください!」とメッセージが出てる。

ここで6桁の認証番号を入れて初めて、パソコンンの画面上でログインができる。

ちなみにここからパソコンを使わずに、そのまま携帯で送金をすることもできる。あるいはパソコンを使う場合は、送金するには毎回、6桁の認証番号を携帯で打ち込むことが必要になる。

2. “Tan”ジェネレーターを使う(パソコンから)

“Tan”ジェネレーターを使う場合は、もっと簡単です。いつも通り口座にログインしようとすると、

PSD2 オンラインバンキング画面

という画面が出る。銀行により画面は異なります。あとは”Tan”ジェネレーターを使い表示された”Tan”を入れれば、口座にログインできる。そして送金の際は、また新しい”Tan”が必要になる。

3. 6桁のコードで本人確認(携帯電話から)

パソコンを使用せず、携帯だけで済ませたい人は、携帯だけで済ませることができます(銀行によりけりです)。それにはまず1.で述べた手順で、お持ちの携帯電話の登録をするだけ。あとはそのまま携帯でログイン、送金をすることができます。

でも画面が小さくて、と~っても使い辛い。携帯に慣れている人は、なんでもないかもしれませんが。

安全性

1~3の方法で安全性が高いのは、1番と2番です。複数の端末をログインで使用する1番の方法では、ハッカーがパソコンと携帯を同時にコントロールする必要があり、詐欺行為はとても難しい。だから、「ほぼ完ぺき。」と言われている。

同じことが2番にも言える。ハッカーが用意した偽の画面では、”Tan”ジェネレーターが機能しないので、”TAN”が盗まれる可能性は低い(と言われている)。

安全性が一番低いのは、携帯だけ使う方法。携帯にウイルスを侵入させれば、6桁の認証番号を盗み出すことができる。しかしそれは銀行も承知の上で、登録した携帯以外の携帯ではログインできないようにしている。

登録した携帯を変更するにも、まずは古い携帯でログイン、登録を抹消する必要がある。このため、ハッカーが6桁の認証番号を盗み出しても、同じ携帯電話でない限りアクセスできない。この意味では広く復旧しているIphoneよりは、マイナーなメーカーの携帯の方が安全だ。

PSD2 導入後の成果は?

“PSD2″は9月からどの銀行でも導入が義務化されたので、EU内に銀行口座をお持ちの場合は、すでにこのログイン時の二重確認と直面している筈だ。導入により詐欺の件数が減ったかどうか、それはまだわかってない。しかし飛躍的に上昇したのが銀行客からの苦情だ。

「ログインできない。」、「ややこしい。」、「わからない。」という苦情が銀行に殺到しており、銀行は対応に追われている。

参照 : morgenpost.de

エラーは2回まで!

実は私もログインで問題と直面した。いつも通りにログインしようとしたのだが、「TANが間違っています。」とエラーになる。一度ならず二度までも。三度間違うと口座を閉鎖されてしまうので、銀行に電話して、「お願いだから、エラーを消してください。」とお願い。

エラーが消えてから、再度、落ち着いて挑戦。今度はうまく行った!銀行側は認めていないが、システム上の問題でログインできない場合もあるそうだ。

そんなときは意地になって三度目の挑戦をせず、銀行にメールか電話で事情を説明、エラーを消してもらおう!

-ドイツの達人になる, 規則、法律

執筆者:

nishi

comment

関連記事

フォルクスヴァーゲン 買っても大丈夫? | Pfadfinder24

フォルクスヴァーゲン 買っても大丈夫?

輸入される事故車 この記事の目次 フォルクスヴァーゲン 買っても大丈夫? ピストンリング問題フォルクスヴァーゲン 社のマネージャー逮捕される!フォルクスヴァーゲン 訴訟請負高級中古車大安売り!編集後記 …

ドイツでアパートを借りるコツ - 書類の準備を忘れずに! | Pfadfinder24

ドイツでアパートを借りるコツ – 書類の準備を忘れずに!

ドイツのアパートのキッチンは排水溝だけ 「今年の6月から施行された法律により、ドイツ国内で不動産を借りる場合、不動産業者を通しても手数料がかからなくなった。」と多くのドイツ人が信じている。この解釈は間 …

冬タイヤを探せ!- Runflat って何? | ドイツの達人になる | Pfadfinder24

冬タイヤを探せ!- Runflat って何?

これがRun Flatタイヤだ! ドイツ語で”Winterreifen”(冬タイヤ)。日本語ではスタッドレスタイヤ。個人的にはドイツ語の方がわかりやすいが、「スノータイヤ」とや …

ドイツの労働条件 - 死ぬまで働くのは日本人だけ | Pfadfinder24

ドイツの労働条件 – 死ぬまで働くのは日本人だけ

ドイツに1年ほど滞在すると、日本で想像していたドイツと実際のドイツとは、何一つ似ていない国であったことがわかってきます。簡潔に言えば、日本は精神主義。「そんなことで弱音をはいてどうする。」と、会社に就 …

ドイツで定年退職 - 個人年金で悠々自適の年金生活 ? | Pfadfinder24

ドイツで定年退職 – 個人年金で悠々自適の年金生活 ?

“Betongold”(コンクリート金)伝説は、未だ健在 ドイツで暗躍する日本人の「ファイナンスアドバイザー」。この言葉を見かけたら、要注意。アドバイザーが狙っているのは、あた …