家計簿アプリは「口座連携」という方法を用いることで、銀行やクレジットカードの入出金情報を自動的に取得し、手放しで家計簿をつけられるメリットがあります。
ですが、”家計簿アプリと金融機関をつなぐシステムの仕組み" を知ってしまうと、
セキュリティ対策が
かなりヤバい金融機関
当然あります。
そこで今回、家計簿アプリ マネーフォワードME を参考に、「どのような金融機関が安全なのか?」見分けについて、情報セキュリティ資格を有するIT管理プロがわかりやすく解説していきます。
まず、マネーフォワードMEに預ける「金融機関の情報」から、説明していきます。
マネーフォワードMEとの口座連携「ログイン情報が必要」
金融機関の情報は、どのようにして取得するのですか?
金融関連サービスのサイトにログインするのに必要な、<ログインID、パスワードなど>をお客さまに登録いただき、その情報をもとに弊社のプログラムが自動で連携先サイトにログインすることで、情報を取得いたします。
引用元:マネーフォワードME
つまり、マネーフォワードMEがログイン情報を漏えいするセキュリティインシデントを起こすと、
金融機関サイトにログインされ、
個人情報を盗まれ、悪用され放題になります。
因みに、クレジットカードの個人情報は"ダークウェブ" という闇サイトでは1件あたり「500円~1,000円」くらいで取引されているようです。
では実際、どのような金融機関がヤバいのか?
具体例をあげて、以下説明していきます。
マネーフォワードME|口座連携が危険な金融機関
ログインID・パスワードのみでログインできてしまう金融機関です。
例えば「楽天カード」が該当しますが、次のようなリスクがあります。
- 本人以外でもIDパスワードを知っていればログインできる
- 適当にIDパスワード入力し続ければ、いずれログインできる
でも、楽天カードって、
「第2パスワード」
「本人認証」とか、
二重でパスワード設定
できるから安全でしょ?
不正ログインを
"未然に防ぐ対策"として、
安全ではありませんよ
いまどきのセキュリティ被害「ログイン情報を盗み出すこと」
「デジタルを安全に使ってね」セキュリティ啓発な活動を行う「IPA」サイトの情報お借りします。
赤枠、およそ半分の6項目は、
本人を騙してパスワードを盗みとり、
不正に利用するセキュリティ侵害です。
いまどきの悪事を働く人は、「ハッキング」なんて技術力と時間を要する "生産性の低い" ことには注力しません。
つまり、「第2パスワード」や「本人認証」という名ばかりのセキュリティ対策、単一要素のパスワード認証は "超ねらい目・格好のターゲット" です。
参考「楽天カード」不正ログインされた場合の被害
楽天カードにログインした画面「お客様情報の照会・変更」から確認できる個人情報です。
楽天カードから漏えいする個人情報
- 住所
- メールアドレス
- 家族・住居状況・勤務先情報
- カード引き落とし口座情報
もし、悪意ある第三者がログインしたら?上記の個人情報がダークサイトで売られると思った方がよいでしょう。
このように「パスワードのみ "単一要素の認証" は、かなりヤバい」という事実、お分かりいただけましたでしょうか。
ここまでの説明踏まえ、「マネーフォワードMEと連携しても安全な金融機関」以下ご紹介していきます。
マネーフォワードMEとの口座連携を安心にできる金融機関
パスワード以外のログイン方法で、不正アクセスを ”水際で防いでくれる” 金融機関です。
まずは、「オンラインの銀行」からご紹介していきます。
住信SBIネット銀行「スマート認証NEO」
「スマート認証NEO」安全性
- スマホの生体認証を用いたログイン
- 入出金もスマホで承認
- 通常と異なるログインの通知
- ログイン履歴をチェックできる
すべての取引行為は、スマホの「住信SBIネット銀行」アプリに通知され、本人が「承認」しなければ使えないように設定できます。
例えば、この記事で「ログインIDは "douano" で、パスワードは "dounano-san" でログインできますよ!」なんて晒しても、筆者の「スマホ&生体認証」がないのでログインできないので安心です。
またその他、「通常とは異なるログインの通知」また、答え合わせとなる「ログインの履歴」もチェックできるので、安全・便利に使えるオンラインバンクです。
住信SBIネット銀行|その他の特徴
- ATM、他行振込は月5回無料
- Apple Pay対応でキャッシュレス
次に、クレジットカードの部門です。
PayPayカード「パスワードレス認証」
「PayPayカード」安全性
- パスワードログインを無効化できる
- パスワード以外のログイン方法設定
- 10分期限の確認コード入力
- 指紋、顔などの生体認証
- ログイン履歴をチェック可能
- ログインアラートのメール通知
- 券面にカード番号の表記なし
PayPayカードの会員サイトにログインするには、Yahoo! JAPAN IDとパスワードが必要です。
よって、PayPayカード発行には下記の手続きは必須レベルでしょう。
- Yahoo! JAPAN IDの作成
- PayPayとYahoo! JAPAN IDの連携設定
Yahoo! JAPAN IDと連携することで、上述しているPayPayカードの安全性・セキュリティが担保されますよ。
また蛇足ですが、Yahooは2020年頃からパスワードを使わない「パスワードレス」を推奨していることは、情報セキュリティ業界ではかなり有名な話です。
PayPayカード|その他の特徴
- 年会費:永年無料
- ポイント:最大3.0%還元
- ブランド:VISA、MasterCard、JCB
- 保険付帯:付帯なし
なお、PayPayアプリにPayPayカードを「PayPayあと払い」として登録することで、アプリからカード情報を照会することもできますよ。
AEON(イオン)カード「ワンタイムパスワード認証」
「イオンカード」安全性
- ワンタイムパスワードをメール通知
- ※普段と異なる環境からのみ
- 利用端末の登録も可
イオンカードは、"通常とは異なる環境からのログイン" を検知した場合、登録メールアドレスにワンタイムパスワードを送信する仕組みです。
ですが、メール通知のログイン方法は次のようなリスクもあります。
- メールの乗っ取り
- メール送受信ルートの改ざん
- イオンを装うなりすましメール
などなど、列挙するときりがありませんが、どのようなリスクがあるのか?だけは覚えておいてくださいね。
何も対策なし、パスワード入力のみでログインできてしまうよりはマシですので。
AEONカード|その他の特徴
- 年会費:永年無料
- ポイント:0.5%(200円ごと1WAON還元)
- ブランド:VISA、MasterCard、JCB
- 保険付帯:ショッピング(年間50万円)
さいごに
マネーフォワードMEと「安全に口座連携できる」金融機関のご紹介でした。
まずはマネーフォワードMEに、「金融機関のログイン情報を預けている」この事実を知っておきましょう。
2022年8月現在、パスワード以外のログインに対応している金融機関は、それほど多くありません。
マネーフォワードMEとの口座連携する以前に、安全な金融機関を利用するようにしましょう。
\よく読まれています/
