ゆうちょダイレクトの使いにくさが半端ない

 1日の送金限度額100億円 などという景気いい書類を送ってよこしてきた「ゆうちょ銀行」
 ヤフオクで落札した商品の支払いは、いつもなら、三菱東京UFJ銀行 or かんたん決済 なのですが、今回は出品者さんが郵便振替(ゆうちょ口座からゆうちょ口座への振込み)を OK にしてあったので、さっそくゆうちょダイレクトを使ってみようと思い、支払いに充てる資金として10万を預入れてきました。
(その場でATMから手数料無料で振替処理できたのですが、あえてパソコンからやってみようと)


http://dl.ftrans.etr.jp/?ebaa9092f25648b88fdfd9dc97f0cb722e888ae1.png


 「インターネットサービス利用者カード」が届いたとき、試しにログインだけしてみてますが、それから3ヶ月が経ち、実際に送金に使うのは初めてです。
 利用者カードに記載の番号を入力して「次へ」をポチってやると、合言葉とやらを聞いてきます。


http://dl.ftrans.etr.jp/?17999b699a6346e88f6162d2bbdb6336ed2c0f8e.png


 おい、普通はパスワードを要求してくるもんだろ?


 合言葉と言えば聞こえはいいけど、「小学校の名前は?」とか「好きな料理は?」とか「初恋の人の相手は?」とか、どうしてそんなコアな個人情報を貴様に教えなきゃいけないんだ?って感じで、基本的に「合言葉」は大嫌いです。


 初めて映画館で見た映画のタイトル?
 そんなの覚えてねぇぞ


 仕方ないので「合言葉を忘れた場合はこちら」をクリックせざるを得ません。
 画面の指示に従い、「合言葉の再発行」を依頼しようとしますれば・・・


http://dl.ftrans.etr.jp/?8fcc89f856884c5fa0e7a3ec607f49e5869e4328.png

 確認メールのアドレスとして携帯電話のメールアドレスを設定してないから、再発行には応じられない

 ふざけるな!


 携帯電話のメールアドレスというのは、@docomo.ne.jp とか、そーいう系のアドレスを指すのだと思うけど、なんで携帯電話のメルアドじゃないといけないわけよ?
 他人に盗み見される危険性を心配してるのかもしれないけど、その確率は携帯電話もパソコンも一緒でしょーが。
(条件によってはパソコンメールのほうが安全とすら感じる)


 ゆうちょ銀行が信用ならないと断じるわけじゃないですが、EPARK に携帯メルアドを登録してしまった失敗 という前例もありますし、自分の携帯メルアドをゆうちょ銀行に知らせる気は起きません。


 キャリア信仰も、ここまで来るとキチガイの域です。
 携帯電話を持っていない人、もしくは、持っててもメールは SMS で済ませてる人はどうするんですか?


 仕方ないんで、自分が登録してそうな映画タイトルを色々と入れてみます。


http://dl.ftrans.etr.jp/?131068856a374e3f9ad3775d57337e67018b2949.png http://dl.ftrans.etr.jp/?7e3b53ba4b154336949d67e5b68eef8c0dd2c3dd.png


 「ドラえもん」「宇宙戦艦ヤマト」どれも違うようです。
 自分しか知り得ないパスワードは、ちゃんと覚えているというのに、パスワードを要求されることなく、代わりに合言葉という名のパスワードを要求される始末。


 そうこうしてるうちに


http://dl.ftrans.etr.jp/?e4c3ec755c47409dafd707f793d116d0f405c82e.png


 おいおい、もう勘弁してくれよ。


 ネット検索してみると、前回使用から環境が変わったと判断されると合言葉を聞いてくる、という情報を得ました。
 プロバイダは変わってないし(IPアドレスは変わっているだろうけど)、パソコンも一緒・・・・いや、パソコンは確かに一緒だが、もしかしたら前回は IE を使ってたかもしれないけど今日は Firefox です。


 UserAgent が違うせいで環境違いと判定されたん?
 試しに IE で訪問してみれば、合言葉は要求されなくなり、最初からパスワードだけ要求されました。


 まさか、IE のバージョンが上がっていって UserAgent が変わるたびに合言葉を要求されるようになるの?
 スマホから手続きしようとしたら、当然にして UserAgent 違うから、合言葉を要求されて、その次にパソコンから手続きするときも、スマホと UserAgent 違うから、また合言葉を要求されるの??


 どんな脅威から守るために考えた合言葉システムか全く見当がつきません。


 安全を目指すというならば、まずは「お客様番号」というユーザーIDに相当する部分に、数字13桁を割り当てるのを止めてくれよ、と
 しかも最初の4桁は口座番号(記号番号)と一緒ぽい感じで、これは取引において相手に伝える公開情報となるので、実質的には数字9桁しかありません。
 まぁUFJダイレクトもユーザーIDは数字10桁なので、大差ないですけど(笑)


 ゆうちょ銀行に登録した合言葉なんて覚えていられないので


http://dl.ftrans.etr.jp/?818cbafc50464900b160ece5b62446205323a3c2.png


 こんな風に登録するしかないですな。。。
 え?これすら忘れる??
 確かに、これはこれで忘れそうなので、合言葉を利用者カードの裏にでもメモっておいたほうがマシですねぇ。


 御丁寧にも「合言葉は他人に推測されやすいものお使いにならないで下さい」と警告が書かれてます。


 私のことを知ってる人にとっては「初めて見た映画」が「ドラえもん」であることは周知の事実なのですが、この質問に対しては「ドラえもん」としておくべきなのでしょうか?
 「初めて見た映画」に限らず、どの質問であっても、正直に書くと容易に類推されてしまうという・・・


 つまり、ドラえもん」と書くよりは「あああああ」のほうが推測されにくいという面でマシ というものです。



 こんなこと書いてると「セキュリティ意識が最低だな」って罵られそうですね(笑)
 PhishWall だの トークン だの、そんな複雑で面倒なことを幾ら多重でやっても、盗られるときは盗られるんです。


 インターネット取引をオープンにしてある口座に大金を置いておかないことが最大のセキュリティなんですよ。
 だから最大でも10万くらいしか置いてません。
 盗られてもいいとは言いませんが、10万ならクビを括らないといけないほどでもないので。


 ゆうちょ銀行は一人で複数口座を持てないので、大金は置いとけないですねー


(追記)2015/04/22
 三菱東京UFJ銀行システムがアップグレード!のメールが来た


(追記)2016/03/23
 セキュリティ意識の高い日本郵便(笑)が、突然の HTMLメールを送りつけてきました。
 メール差出人(ドメインの所有者)は日本郵便じゃないので、一種の「なりすまし」です。
 「ゆうびん.jp だより」は本物か? をどうぞ