関西アーバン銀行のネットバンクでハックして遊んでたらこんな感じ。ちょ、ちょっとー!!
まずは、初回登録の画面。
ログインパスワードは、半角英数字のみ。三菱東京UFJダイレクトは、
半角英数字+記号となっているが、関西アーバン銀行では、半角英数字のみ。
と、ここを見ていて気になっていたのですが、URLのEV-SSLの証明書が...
となっており、関西アーバン銀行インターネットバンキングのドメインは、
NTT DATA CORPORATION(JP) https://www.parasol.anser.ne.jp/と、なっており、www.kansaiurban.co.jp のドメインではありません。これは、本物?ちなみに、関西アーバンダイレクト バンキングサービスの紙のマニュアルを見ても記載がありません。
気になってぐぐって調べてみると、
関西アーバンダイレクトバンキングサービス EV SSL 証明書|関西アーバン銀行とあり、次のように記載がありました。
しかしスクリーンショットと説明が違うようです。えっと、全部大文字ですよね。
そして、こういう重要なことは、印刷物のマニュアルに記載が無いのはどういうことなのかなと思います。
さて、本題に戻りましょう。次に進むと、確認パスワードの項目があります。
ここには、
ログインパスワードは英数文字を必ず混ぜてください。英文字は大小文字を区別しません。とあります。ログインパスワードは、簡単なパスワードの上、大文字・小文字の区別がないようです。
高齢者には優しいですね(笑)
これは、何回かログインに失敗したら、ロックされればいいでしょうけど、そうでなければ簡単に解けそうですね。
てことで、次、SSLについて気になったのでさくっと調べてみました。
GlobalSign SSLチェックにかけてみたところ、グレードA−。
推奨されていないプロトコル、Cipherは無効にされているというころで、きっちり対応されているようで、このあたりは外部の会社(NTTDATA)がやっているだけありそうですね。運用はまともだけど、システムと関西アーバン銀行の説明が駄目ってことですね。改善すべし事項かな。
結果は、
スクリーンショット(
PDF)
に落としておきましょう。
OUなどを見ると、ANSERとあるので、なにかと調べてみたところ、
NTT DATA ANSERというサービスで、ANSER=Automatic answer Network System for Electronic Request というもの。商品概要には、「金融機関の窓口やATMで行っていた金融取引(残高照会や入出金明細の連絡、顧客の口座からの振込・振替など)を会社や自宅、外出先などでも利用できるサービスです。顧客は固定電話・携帯電話・パソコンなどさまざまな端末を利用することができます。」とありました。いわゆるネットバンク専門のオールインパッケージですね。
にしても、このセグメントおもしろいなぁ。
1.4.162.210.in-addr.arpa domain name pointer test.parasol.anser.ne.jp. 2.4.162.210.in-addr.arpa domain name pointer www.parasol.anser.ne.jp. 34.4.162.210.in-addr.arpa domain name pointer www.paranet.tottoribank.co.jp. 35.4.162.210.in-addr.arpa domain name pointer www.ncb-direct.ncbank.co.jp. 36.4.162.210.in-addr.arpa domain name pointer www.direct.gunmabank.co.jp. 37.4.162.210.in-addr.arpa domain name pointer www.ib.tominbank.co.jp. 38.4.162.210.in-addr.arpa domain name pointer www.direct.jabank.jp. 39.4.162.210.in-addr.arpa domain name pointer web.wallet.shizugin.net. 39.4.162.210.in-addr.arpa domain name pointer www.webwallet.shizugin.net. 40.4.162.210.in-addr.arpa domain name pointer www.direct.shizuokabank.co.jp. 41.4.162.210.in-addr.arpa domain name pointer www.direct-lite.shizuokabank.co.jp. 42.4.162.210.in-addr.arpa domain name pointer www.parasol.oitabank.co.jp. 43.4.162.210.in-addr.arpa domain name pointer www.aidirect.aichibank.co.jp. 44.4.162.210.in-addr.arpa domain name pointer www.1611.chushin.co.jp. 45.4.162.210.in-addr.arpa domain name pointer www.kyoto-shinkin.parasol.anser.ne.jp. 46.4.162.210.in-addr.arpa domain name pointer www.b-mobile.mizuhobank.co.jp. 61.4.162.210.in-addr.arpa domain name pointer kobetsu.parasol.anser.ne.jp. 94.4.162.210.in-addr.arpa domain name pointer kobetsut.parasol.anser.ne.jp. 161.4.162.210.in-addr.arpa domain name pointer test.bizforex.anser.ne.jp. 162.4.162.210.in-addr.arpa domain name pointer www.bizforex.anser.ne.jp.
色々とありますね(w
てことで、サブドメインにtestを付けてアクセスしてみると、あっちゃー、アクセス出来ちゃいますねw
https://test.parasol.anser.ne.jp/ib/index.do?PT=BS&CCT0080=0554
後ろのIDは銀行コードなので、次のところで調べれられるでしょう。
にしても、三井住友銀行グループだったら、三井住友銀行のシステム使えばいいのに、外に出す理由はコスト?それとも、技術スキルの問題?ww