BrainyRabbit's Blog

趣味の旅行や日頃気になったこと、ときどき仕事について気ままに更新しています。

三菱東京UFJ銀行がまた変なセキュリティ対策を追加。Eメールワンタイムパスワード。一部の国から利用が困難に

 海外キャッシングで外貨引出しをして、ペイジーで三菱東京UFJからオンラインで決済をしようと思ったら、見慣れない画面に飛ばされました。

 

登録Eメールアドレスにワンタイムパスワードを送るのでそれを入力せよ、とのこと。調べてみると、三菱オリジナルな新しいシステムのようです。

「普段と異なる環境」からのアクセスと認識されたら、このEメール向けワンタイムパスワードが必要になるとのこと。

ワンタイムパスワード | 三菱UFJ銀行

 

面倒なことに、メールで送られるワンタイムパスワードとは別に、スマホに表示されるワンタイムパスワードも通常通り入力しないといけないという仕様です。

 

手間なのはともかく、これは何を目指しているのでしょう?

そもそも、「スマホで受取るワンタイムパスワードを、支払い依頼をしているPCに入力する」というのであれば、本人と登録したデバイスを両方保持していることで本人確認の確度は上がりセキュリティを向上させることができるのは分かるけれど、「支払い依頼をしているPCに届くワンタイムパスワードをそのPCで開いて入力する」作業で、果たしてセキュリティは向上するのか…?

 

加えて、毎回思うのは、「普段と異なる環境からのアクセスなのでセキュリティを加重します」というのは正しいと思う(理解できる)が、「普段と異なる環境」の検知が前時代的なのは改善してほしい

ここ数年、出張や旅行で海外から頻繁に繋ぎまくっていて、大体同じマリオットのホテルに滞在・同じ回線で接続しているのに毎回「普段と異なる環境」と言われているのは単純に「海外=普段と異なる環境だ!!」と脊髄反射な検知ロジックに悩まされているとしか思えません。

「接続環境」だけで見れば、むしろ月に数日しか帰らない自宅マンションのFree WiFiの方がよっぽど「普段と異なる環境」なのですが、それはスルー。なんなら、2年ぶりに帰った遠方の実家のWiFiからの接続もなぜかスルー。2年以上前のログとか残っているのか、単純に国内だからスルーしているのかは不明。 

 

今回は幸いタイからのアクセスだったので、面倒なだけで手続き自体はできるから良かかったけれど、中国やロシアなどYahooメールもG-mailもアクセスできない国だったら利用できないじゃないか。。会社の個人アドレスをDM送付不可にしても「重要なお知らせなので全員に配信しています」とか書いて、無意味なDM送ってくる銀行の連絡先には追加したくないよ。。

 

ペイジーは早く住信SBIに対応してほしいです。