家計簿アプリにネットバンキングのパスワードを含むアカウント情報を登録することの是非
2015年7月3日 11:15
insiderman 曰く、 最近の家計簿アプリでは、ネットバンキングサービスから自動的に残高や入出金記録を取得して記録する機能を備えているものがあるそうだ。この機能を利用するためには、アプリにネットバンキングのパスワードを含むアカウント情報を登録しておく必要があるのだが、これについての是非が議論されている(ツイナビ:いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します)。
例として上がっているのは「Zaim」や「MoneyForward」という、いわゆるクラウド型のサービス。入力した認証情報はこれらサービスを運営するサーバー側に保持されることになる。記録されるのはログインIDやパスワードと言った「最低限の情報」とされているが(Zaim)、サービスや連動するネットバンキングサービスによってそれ以外の情報も登録が必要で、たとえば新生銀行との連動の場合、暗証番号についても入力が必要だったり、いわゆる「秘密の質問」の登録が必要となる場合もあったりするようだ(MoneyForward)。
まず懸念されるのが、これら情報がハッシュなどのほぼ不可逆な形ではなく、アルゴリズムや暗号化キーなどが分かれば復号できる形で保存される点だ。この場合、万が一情報漏洩が発生した場合の影響は大きくなる。
また、「振り込みなどの操作に必要となる暗証番号やパスワードについては保存していないため万が一情報が漏洩しても実質的な影響は少ない」との意見もあるが、このようなリスクの高い秘密情報についてカジュアルに入力させている場合、たとえば悪意のある攻撃者がフィッシングサイトを作ってさらなる情報を入力させようとしたり、口座アカウントの窃取を狙って作られたアプリが登場した場合に違和感を感じにくくなるという問題がある。
ちなみにZaimもMoneyForwardも、利用規約の免責事項で「サービスを利用によって発生した損害については一切の責任を負わない」とされているので、万が一情報が漏洩して金銭的な損害が発生した場合、損害賠償などを請求できない可能性がある。これら機能を利用する場合はご注意を。
スラドのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー: パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出 2015年06月17日 WordPressプラグイン「WP-Slimstat」に致命的な脆弱性、暗号化パスワード漏洩の危険も 2015年02月27日 韓国でクレジットカード各社より1億400万件の個人情報が流出、セキュリティ会社社員が窃盗・売却 2014年01月14日 Yahoo! JAPANの「秘密の質問」がIDと共に流出 2013年05月24日