トップページ上部広告

2014年9月3日水曜日

マネーフォワードのセキュリティは大丈夫か考える

2014年9月1日 米国Apple社のクラウドサービス「iCloud」がハッキングにあったのではないか と世界中でニュースになっています。
(9月2日時点では、Apple社はiCloudからの情報漏えいか調査中としているため、確定情報ではありません)

想定されているハッキングの手口は、iCloudのセキュリティ脆弱性を狙ったブルートフォースアタック(総当り攻撃)ではないかと言われています。

もう少し具体的には、PCなどからどこかに忘れてしまった自分のiPhoneをApple IDとパスワードを使って探すためのサービスで、「iPhoneを探す」という機能があるのですが、ここで入力するパスワードは何回間違っても繰り返しトライできる状態でした。(=セキュリティの脆弱性がある)
これを悪用して、著名人の誕生日やTwitterで公開されている情報などをひたすらひたすら認証が通るまで試すことでパスワードが盗まれたようです。(=ブルートフォースアタック)

オンライン上にデータを保存することが当たり前になりつつある近年では、情報管理やパスワード管理を特に気をつける必要があります。
前置きが長くなりましたが、今回はマネーフォワードに複数金融機関の登録をすることが安全かどうかについて考えてみたいと思います。
※余談ですが、私はIT関係の仕事をしていたり、公的資格の情報セキュリティスペシャリストを取得  していたりするので、多少はこういった話題が得意です。 専門家ではありませんが。

そもそも、インターネット上で金融機関情報を管理すること自体にリスクがあります。
どんなに対策をしても「絶対に漏えいしない」ということはありません。
我々は、リスクをとって便利で快適なサービスを受けるかどうかを選択する必要があります。

例えば、「飛行機は落ちるのが怖いから乗らない」という人もいるでしょう。
交通事故より確率が低いといわれていますが、可能性が無いわけではありません。
「墜落のリスク」と「短時間で遠地に行けるサービス」を比較し、どちらを選択するかはその人次第です。
でも、リスクを取るといっても、当然、飛行機に乗る人が皆覚悟を決めて乗っているわけではありません。
墜落しないように、(日本はともかく、海外で利用する場合は特に)安心できる航空会社を選択します。

話は戻って、「インターネット上で金融機関情報を管理すること」に関するリスクとの向き合い方は以下のようになると私は思っています。

①リスク回避・・・インターネットで金融機関情報を管理することはそもそもしない
②リスク低減・・・ばれにくいパスワードを使う、他サービスとは異なるパスワードを使う
          ログインパスワードが漏洩しても致命的にならない機関を選択する
③リスク転化・・・万が一パスワードが漏洩して不正利用されてしまっても保障されるようにする
④リスク受容・・・漏洩したらそのときだ と腹をくくってあきらめる

このうち、④だけは絶対にやってはならないことだと私は考えます。
また③について、不正利用に対して銀行は基本的には保障してくれるようです。(重大な過失が無く、速やかに届け出た場合とのことですが)
とはいえ、最初からあてにするわけには行けません。
考え方としては①か②(まったく使わないか、セキュリティに気をつけて使う)の二択ではないでしょうか。

②を選択した場合ですが、漏洩リスクを軽減するにはどうすればよいでしょうか。

1.自分でしっかりパスワードを管理する
 - 推測されやすいパスワードを使わない/パスワードのヒントとなるような情報を公開しない
 - 他サービスと同じパスワードを使わない
 - 公共の場所でパスワードを入力しない
いくら金融機関のセキュリティは高いとはいえ、パスワードが推測されてしまったり、セキュリティが低い他社サービスと同じパスワードを使っており、そちらが万一漏洩してしまったら大変です。
また、「他人のパスワードを覗き見る」という原始的なハッキング手法もあります。電車やネットカフェ等、公共の場所で他人に見られる状況は可能な限り避けましょう。

2.信頼できる会社/サービスを利用する
多くの銀行は、ログインパスワードが盗まれただけでは送金等のお金のやり取りができない仕組みになっています。その場合、取引には予めルールが決められた別のパスワードを使うようになっており、セキュリティレベルはより高くなります。
マネーフォワードも金融機関系のサービスであり、情報は暗号化されて管理されています。また、第三者によるセキュリティ監査を受けているとのことなので、セキュリティレベルは高いと考えられます。
また、マネーフォワードに入力するのは基本ログインパスワードのみであり、漏洩が即資産の被害には繋がらないと考えられます。

まとめると、金融機関およびマネーフォワード自体のセキュリティレベルは高いと考えられるので、自身でしっかりパスワードを管理すれば情報漏えいの可能性は低くなります。
それでも絶対に漏えいしないとは誰も保障できないので、この便利で快適なサービスを利用するのかしないのかは、それぞれの判断になります。
投稿者 時刻:
ラベル: , , ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)