Geld und Banken
お金と銀行

cardreader 2 w500 オンラインバンキングとTAN

ンラインバンキングの鍵を握るセキュリティーの代表格であるTAN(トランザクション認証番号)は,スマートフォーンとの連携が進むに伴い,2018年には大きな変化が起こりそうです。

しかし,まず,ドイツで広く利用されているトランザクション認証にはどのような種類と方法があるのでしょうか。

TAN メソッド

TAN リスト

tanlist w500初期の頃のTANですが,銀行から配布された紙にリスト印刷された,一回限り使用できるTANの番号を使用者は振込みごとに任意に選び,使い果たしたら銀行から新たなリストをもらう形式。
安全性の面からI-TANに代わりました。

I-TAN

I はインデックスの意で,初期と同様のTAN番号ごとにインデックスが付けられ,オンラインで振込みを行う際,指定されたインデックス番号にあるTAN番号を記入します。

I-TAN++

I-TAN と同じ方法ですが,振込みに伴うインデックス番号の指定方法が異なり,例えば230.51 ユーロの振込み記入を行うと,「230.51 ユーロの振込みを遂行するためにTAN番号 035 を使用してください」というウォーターマークが付いた電子透かし画像が表示されます。画像,それも透かし付きなので,番号をハックされる危険性が著しく減少します。

M-TAN

オンラインバンキング利用の申請(振込み)が銀行のサイトで行われると,銀行側の認証プログラムが作動して,口座所有者の携帯電話にSMSが送信されます。
そこで,M-TANを入力して最終的に振込み完了となります。
電話の盗聴,携帯電話のハックなど,通信媒体が安全とはいえないことは当然(?)のような状況ですが,短時間に盗んで即使用,という行為はかなり困難であることが実証されています。
それで,SMSの受信後,1分以内にM-TANを入力しないと無効になるようにプログラミングされているため,I-TAN++ よりもさらにセキュリティーが向上しました。

PHOTO-TAN / QR-TAN

口座所有者にSMSを介して画像データが送信される方法自体は M-TAN と同様ですが,まず銀行は振込みデータが記されたQRコードのような画像を暗号化して送信します。その画像を銀行から配布されたアプリを用いて撮影し,振込みの内容を確認した後にTANをスマートフォーンに入力して完了となります。
かなり安全性の高いトランザクションと言えますが,電話の通話がハックされる恐れは避けられないのでチップを備えたTAN生成機(TAN-Generator)よりは低セキュリティーレベルです。

SMART-TAN plus

簡易ジェネレーターとも云える方法で,センサーも入力キーも無い,TAN番号を生成する目的のみの機器です。カードを挿入するとTAN番号が表示されるので,その番号を別に紙に書き込んでオンライン・トランザクションに使用します。
振込みも振込み確認も行うことができない不便性だけではなく,安全性も低いため,使用している銀行は少なくなりました。

eTAN

Chip-TAN と同じようにTAN生成機が必要です。TAN生成機は有償または無償で銀行から提供されます。
Chip-TAN と異なり,eTANでは,Girocardのチップを用いたTAN番号の算出は行われません。銀行カードを挿入する必要はなく,予めオンラインバンキングの振込みプロセスで表示された番号をまず入力します。そこで,申請した振込みに必要なTANが算出,表示されるので,その番号をTAN番号として振込みに使用します。

Chip-TAN

cardreader w500銀行によって,無償,または10ユーロで提供されるTAN生成機です。内蔵されたチップ・カードリーダーが銀行カードおよびクレジットカードを読み取ります。
PIN番号の入力で保護された,さらに安全性が高いChip-TAN生成機もあります。

トランザクションの流れ:
1. まずインターネットで銀行のWEB サイトに入り,振込みに必要なデータを入力します。暗号化された振込みデータが保存された画像が表示されます。
2. Chip-TAN生成機が暗号画像を読み取ると,確認のために,改めて振込みデータが表示されます。その後,TAN番号が表示されるので,その番号を振込みフォームに入力します。

現時点で最もセキュリティーが高い汎用TANメソッドであるだけではなく,旅行や出張など,どこでも持ち運べる小型機なので利便性にも優れています。

Push-TAN

基本的には M-TAN と同様のメソッドですが,タブレットなど,ひとつだけのデバイスで全てが完了し,SMSでTANが送られるプロセスもありません。
専用のアプリを予めインストールしておく必要がありますが,利用時に複雑なアクセスデータおよびパスワードの入力を要するため,ハックされる危険性も低いことが評価されています。

FinTS-HBCI

銀行と顧客間のオンライン・トランザクションにおいて,現在最も安全性が高いメソッドです。ホームバンキング・ソフトウェア使用が条件となります。
オンラインバンキング・ソフトウェアとも呼ばれる専用ソフトは,安全性だけではなく多様な機能を備えているので,企業にとっては,使用するかどうかではなく,どのソフトを利用するかが課題になると思います。
複数の銀行のトランザクションの(半年や1年で消えない)永久的な保存,そして顧客リストや目的に沿った整理方法など,銀行取引と会計記録がリンクしています。
また,ハッカーにとっては,専用ソフトよりも,銀行と個人間とのアクセスの方が狙いやすいこともあり,コンピュータ専門誌によるとバンキング・ソフトウェア利用者の被害は著しく少ない結果が出されています。

FinTS-HBCI は,暗号解読と同じように,秘密鍵と公開鍵を用いるメソッドです。秘密鍵は口座所有者の署名に相当し,口座所有者の公開鍵を保有している銀行に限って暗号トランザクションを遂行することができます。
チップ・カードリーダーを使用することも可能で,その場合,秘密鍵はカードリーダーに保存されており,PINを入力してから,口座の閲覧およびトランザクションを行うことができます。また,秘密鍵はUSBスティックなど,他の記録媒体に保存することも可能です。

TAN2go

より使い易く,しかしできるだけ安全に,という考えが基本のメソッドです。
振込みデータを入力するためのアプリと認証を行うための,2つのアプリを使用します。TAN生成アプリは専用の媒体(スマートフォーン,タブレット)に限ってインストールすることが可能です。

Fingerprint / Face-ID

利用者にとって最も便利な認証方法は指紋かも知れません。
主にアップルの媒体で機能し,数行の銀行がサポートしています。

プログラム提供元: CComment