ドイツの達人になる 規則、法律

PSD2 オンラインバンキング ログイン時の二重確認

投稿日:

PSD2 オンラインバンキング ログイン時の二重確認

インターネットが我々の生活を快適にしてくれた例のひとつが、オンライン バンキング。

今の世代には、当時の苦労を知らない方が多いかもしれない。当時送金が必要になると貴重な昼休みに銀行に行き、長蛇の列にならんで順番を待った。

オンラインバンキングの導入で、送金の為に長蛇の列に並ぶ必要がなくなった!人為的なミスも、大幅に減った。

ところが便利なものが出ると、これを悪用して金儲けをたくらむ人が出る。そこで欧州ではオンライン バンキング 利用の際の安全規格 “PSD2″を導入した。

オンライン バンキングの安全性

オンライン バンキングの黎明期は、セキュリテイーも簡素なものだった。銀行のホームページにて、口座開設の際に決めたパスワードを入れるだけ。そのパスワードも自分の簡単な名前で登録できた。

ハッカーがコンピューターウイルスを使ってユーザーが使っているパスワードを盗み出し、口座からお金を盗みまで、長くはかかならなかった。

そこで銀行はパスワードを盗まれても、(すぐには)お金を盗まれることのない方法、”tan”を発案した。

“Tan”って何?

“Tan”とは、トランスアクションナンバー /”Transaktionsnummer”の短縮形。送金の確認の際に、パソコンの画面で打ち込む番号で、通常は6桁。一回だけ使える。次回からは別の番号を使用しなけれなならないから、「安全性が高い。」と言われた。

しかしハッカーがコンピューターウイルスを使ってユーザーが使っているパソコンを乗っ取り、口座からお金を盗み出す方法を発案した。言うは容易いが、これは実に複雑な詐欺で、パソコンを乗っ取られた被害者は、全く何も気が付かないほどの、見事な詐欺だった。

“TAN”を使った詐欺

被害者が「あれ?」と思うのは、いつも通りに送金を行うと、これがエラーになること。「”Tan”が間違っています。」というエラーが出るので、今度は別の”Tan”で試す。またしても「”Tan”が間違っています。」というエラーが出るので、今度は別の”Tan”で試す。

何も知らない被害者は、ハッカーが用意している銀行の画面のコピーに”Tan”を打ち込んでいるのだ!注意深く上部のアドレスを見てみれば、銀行のウエブのアドレスではなく、詐欺師のページが置かれているウエブ アドレスになっている。

しかし見た目が瓜二つなので、これに気が付く人はいない。こうしてハッカーは十分な数の”tan”を盗み取ると、本当のウエブから被害者の口座にアクセス、数回に分けて限度額までスペインやルーマニアの口座に送金する。

被害者がこれに気づくのは、次回送金をする際。顔面真っ青になって銀行に相談に行くが、時、すでに遅し。送金されたスペインとルーマニアの口座は解約されており、お金を取り戻すことはできない。

“Tan”ジェネレーター

次に銀行が考えた対策は、”Tan”ジェネレーターという装置だ。

送金の度に短時間有効な”Tan”を作り出す端末で、これはウイルスでパソコンを乗っ取られても、「安全です。」というほどの自信作。私が口座を置いている銀行では、「それでも盗まれたら、銀行が盗まれた金を補填します。」と言っている。

ハッカーがこの”Tan”を盗んで被害者の口座にログイン、あらかじめ用意していた口座に送金をしようにも、時間がかかりすぎ。「”Tanが無効です。」というエラーが出る(筈)で、詐欺は(ほぼ)不可能との事。

その他にも携帯電話を登録しておき、送金の際にはSMSで”TAN”が遅れてくる方法など、銀行によりさまざまなやり方がある。欧州委員会はそれでもまだ十分に安全とは言えないと考えた。そして新しい銀行の安全措置として考えたされたのが、”PSD2″だ。

PSD2

”PSD2″とは”Payment Services Directive 2.”の略称。日本語で言えば、支払いサービス条例 2号。詳しくはドイツ連邦銀行のホームページでご確認いただけます。

参照 : bundesbank.de

名称だけだと何のことなのかわからないので、わかりやすく言えば、オンライン バンキングのログインで(不正を避けるため)本人のダブル認証が必要になった。これは欧州全域で導入されるので、英国でもドイツでも口座を持っている方に該当する。

オンラインバンキング ログイン時の二重確認

これまでのログイン方法では、ユーザー名とパスワードを入れれば、誰でも口座にアクセスできた。アクセスしているのが、ユーザー名とパスワードが盗んだハッカーでも。欧州委員会に言わせれば、これが問題だという。

ハッカーが口座にログインできると、送金時に安全な”Tan”ジェネレーター、あるいは SMS を使って”Tan”を送っても、やり方次第では盗んだ”Tan”を使っての送金が可能になる(そうです)。そこで今回、これまでのオンライン バンキングの最大の弱点である、ログインを強化することにした。

具体的にはログインの際に、これまで通りユーザー名とパスワードを入れる作業に加えて、もう一回、本人確認の作業が必要になる。これには三通りの方法がある。

  1. 登録した携帯電話を安全確認に使う(パソコンから)
  2. “Tan”ジェネレーターを使う(パソコンから)
  3. 6桁のコードで本人確認(携帯電話から)

これだけでは、さっぱりわからないと思うので、順番に説明していこう。

1. 登録した携帯電話を安全確認に使う(パソコンから)

まず銀行のホームページにアクセスして、銀行のアプリを携帯にダウンロードする。アプリを起動して自分の口座にアクセスすると、認証用の6桁の認証番号の入力が必要になるので、あからかじめ忘れにくい番号を考えておこう。

これが済むと携帯が口座保持者の携帯電話と登録される。しかしここで銀行の安全機能がチェックが入り、実際に使えるようになるまで数日かかる。

以後はこの携帯電話ではないと、口座にアクセスできない。ハッカーがアクセス情報をもっていても、この携帯電話でないとアクセスできないから、安全ということらしい。

携帯を登録後、パソコンから口座にログインしようとすると、「登録した携帯から、本人認証をしてください!」と、メッセージが出る。「おお、そうだった!」と大急ぎで携帯の電源を言れ、アプリを起動すると、「本人の認証をしてください!」とメッセージが出てる。

ここで6桁の認証番号を入れて初めて、パソコンンの画面上でログインができる。

ちなみにここからパソコンを使わずに、そのまま携帯で送金をすることもできる。あるいはパソコンを使う場合は、送金するには毎回、6桁の認証番号を携帯で打ち込むことが必要になる。

2. “Tan”ジェネレーターを使う(パソコンから)

“Tan”ジェネレーターを使う場合は、もっと簡単です。いつも通り口座にログインしようとすると、

PSD2 オンラインバンキング画面

という画面が出る。銀行により画面は異なります。あとは”Tan”ジェネレーターを使い表示された”Tan”を入れれば、口座にログインできる。そして送金の際は、また新しい”Tan”が必要になる。

3. 6桁のコードで本人確認(携帯電話から)

パソコンを使用せず、携帯だけで済ませたい人は、携帯だけで済ませることができます(銀行によりけりです)。それにはまず1.で述べた手順で、お持ちの携帯電話の登録をするだけ。あとはそのまま携帯でログイン、送金をすることができます。

でも画面が小さくて、と~っても使い辛い。携帯に慣れている人は、なんでもないかもしれませんが。

安全性

1~3の方法で安全性が高いのは、1番と2番です。複数の端末をログインで使用する1番の方法では、ハッカーがパソコンと携帯を同時にコントロールする必要があり、詐欺行為はとても難しい。だから、「ほぼ完ぺき。」と言われている。

同じことが2番にも言える。ハッカーが用意した偽の画面では、”Tan”ジェネレーターが機能しないので、”TAN”が盗まれる可能性は低い(と言われている)。

安全性が一番低いのは、携帯だけ使う方法。携帯にウイルスを侵入させれば、6桁の認証番号を盗み出すことができる。しかしそれは銀行も承知の上で、登録した携帯以外の携帯ではログインできないようにしている。

登録した携帯を変更するにも、まずは古い携帯でログイン、登録を抹消する必要がある。このため、ハッカーが6桁の認証番号を盗み出しても、同じ携帯電話でない限りアクセスできない。この意味では広く復旧しているIphoneよりは、マイナーなメーカーの携帯の方が安全だ。

PSD2 導入後の成果は?

“PSD2″は9月からどの銀行でも導入が義務化されたので、EU内に銀行口座をお持ちの場合は、すでにこのログイン時の二重確認と直面している筈だ。導入により詐欺の件数が減ったかどうか、それはまだわかってない。しかし飛躍的に上昇したのが銀行客からの苦情だ。

「ログインできない。」、「ややこしい。」、「わからない。」という苦情が銀行に殺到しており、銀行は対応に追われている。

参照 : morgenpost.de

エラーは2回まで!

実は私もログインで問題と直面した。いつも通りにログインしようとしたのだが、「TANが間違っています。」とエラーになる。一度ならず二度までも。三度間違うと口座を閉鎖されてしまうので、銀行に電話して、「お願いだから、エラーを消してください。」とお願い。

エラーが消えてから、再度、落ち着いて挑戦。今度はうまく行った!銀行側は認めていないが、システム上の問題でログインできない場合もあるそうだ。

そんなときは意地になって三度目の挑戦をせず、銀行にメールか電話で事情を説明、エラーを消してもらおう!

-ドイツの達人になる, 規則、法律

執筆者:

nishi

コメントを残す

関連記事

ドイツで物乞い 誰でもやっていいの?

ドイツで物乞い 誰でもやっていいの?

ドイツで物乞い をしている人は多いです。 ウイーンなどの大都市に行くと、ほとんどタイと変わらないくらい、多くの物乞いを目にします。 こうした物乞いをみた日本人が最初に抱く疑問は、 「儲かるんだろうか。 …

テレワーク監視 ツールは違法なり!【私的領域侵犯】

テレワーク監視 ツールは違法なり! 【私的領域侵犯】

コロナ禍により日本でも流行り始めた、テレワーク。(*1) しかし日本の労働条件は、過労死という言葉で世界中で「有名」になっているように、バナナ共和国並み。西欧では当たり前の基本権利が、労働者に認められ …

【儲かる話 】 ドイツで人気の 不動産投資 | Pfadfinder24

【儲かる話 】 ドイツで人気の 不動産投資

投資するなら一等地の高級物件 【儲かる話】 「儲かる話。」と検索してここにたどり着いたあなた。詐欺師にひっかかりやすいです。色気を出さないで、落ち着いて考えてみてください。仮に儲かる話が本当にあったと …

【コロナ特例】 ホームオフィス 600ユーロまで必要経費なり!

【コロナ特例】 ホームオフィス 600ユーロまで必要経費なり!

2020年、 ホームオフィス (*1)で過ごした方も多いだろう。 自宅で働くとインターネット、仕事場、電話などさまざまなものが必要になるが、会社側からその経費を支給されないケースも多い。 「通勤(費用 …

ドイツの洗車事情 - 路上洗車禁止令 その理由は? | Pfadfinder24

ドイツの洗車事情 – 路上洗車禁止令 その理由は?

実に良く出来たドイツの洗車機 「どうしてドイツでは、誰も路上で車を洗っていないのでしょう。」と、早く愛車を洗いたくてウズウズしている日本人。ドイツ着任以来、路上で車を洗っている光景を一度も見かけなった …

アーカイブ

ブログをメールで購読

メールアドレスを記入して購読すれば、更新をメールで受信できます。

4人の購読者に加わりましょう