家計簿アプリはリスクをきちんと把握して使え

シェアする

いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します – ツイナビ | ツイッター(Twitter)ガイド

この記事がバズってたので見物に行ったわけですが、家計簿アプリにパスワード入れさせられる!乱数表入れるとかマジキチあかん!という話できちんとリスクの話が出来てなかったので改めて家計簿アプリって何がヤバいのか、何が便利なのかを考えてみました。

パスワードハッシュ化の話
まず、今日日まともなサイトであれば、ログイン情報のパスワードについては元の文字列に戻せないハッシュで保管しています。要は、パスワード:12345というのがあったとして、一定ルールで67890に変換して保存しています。だからパスワードが漏れたとしても、そのサイトのログイン画面で67890を入れても認証は通らないってわけ。その「一定のルール」も漏れるとダメですけど。ハッシュ化の話は適当に調べてみてください。

ところが、Zaimとかマネーフォワードみたいなオンライン家計簿は、「他社のサイト」へログインを「代行」するわけで、要は人間がすることを自動化されたスクリプトがログインフォームにID,PASSを打ち込んで、リンク先のサイトをスクレイピングしてるだけなんですね。だからこの場合ならガチのパスワードである12345を保存してないといけないわけです。つまり、オンライン家計簿サイトがハッキングされてIDとパスワードが流出すると、即ログインが可能になってしまうわけでこれは通常のサイトのハッシュ化されたパスワードが流出する場合と比べると格段にリスクが高いのです。ここが、家計簿サイトのヤバいところたる所以です。しかも複数サイトのID,PASSが保存されてる場合が多いので一回漏れるともっとやばいわけです。

彼らはしきりにセキュリティについて、安心安全を強調していますが、どんなに強調したところで、IDとパスワードを預けているという自覚が必要です。いくら暗号化しようが、IDとパスワードを別のサーバーに保管しようが、彼らはログイン代行のために絶対生のパスワードに復号する必要はありますし、最終的にIDとパスワードの組み合わせてログインできるデータを預けているということは大きなリスクではあるんです。

もうちょっと詳しく漏洩した場合のリスクを見ていってみたいと思います。

〜銀行の場合〜
家計簿アプリ、自分はマネーフォワードを使っています。登録させられる情報は銀行やカード会社次第でして、要はマネーフォワード的には残高となんで残高が増減してるのかを取得したいので、そこに行くまでに必要な情報を登録しないといけません。ここで、大抵の銀行はID(オンラインバンキングIDで口座番号ではない)とパスワードの場合が多いみたいです。UFJや住信SBIネット銀行なんかはそうですね。で、このIDとパスワードで実行できるのは残高照会、通帳閲覧の他に一部の登録情報閲覧などになっていることが多いです。住所、電話番号などは取引パスワードが必要な場合が多いですね。つまり、リスクとしてはこのIDとパスワードが漏洩した場合は残高がバレたり、登録メールアドレス、口座番号なんかがばれる可能性があります。結構ヤバいけど、直接他人の口座に振り込まれたりといったことはあまり考えられないことですね。上の記事では暗証表を入れさせられることもあると書いてありますが、自分は入れたことはないですし、そんなアホなことはしないです。

京都銀行なんかはカードの暗証番号まで家計簿に登録させられます。暗証番号が漏洩した場合ですが、京都銀行に限って言うと、オンラインの振り込みなどにはさらにオンラインバンキングカードの裏面の暗証表が必要なのでできません。ただし、キャッシュカードを盗まれると、現金の引き出しが可能です。

銀行の場合のリスク:一部の登録情報が閲覧される、口座残高や登録振込先、明細が閲覧される、暗証番号が流出する

〜カード会社の場合〜
クレジットカードについては、登録しているのは大体ログインID(カード番号ではない)、パスワードです。これらはサイトのログインに使われ、明細照会などが可能です。三井住友VISAカードでの話ですが、ネットキャッシングや繰り上げ返済、登録情報の閲覧についてはカード裏面のセキュリティコードと有効期限が必要なため、勝手に実行されることはありません。また、Webサイト上でフルのカード番号が表示されることはないので、カード番号が流出することもありません。カード会社に寄りますが、ID、パスのみで登録情報が閲覧できるところもあります。三菱UFJニコスはそうですが、勤務先会社名、メールアドレスは伏せ字無しで閲覧出来ました。三井住友VISAとOMCカードはセキュリティコードの入力が必要でした。このへんは登録するカード会社のポリシー次第なので注意が必要です。

クレジットカードの場合のリスク:(場合によって)登録情報が閲覧される、カード利用履歴が見られる

〜証券会社やFX〜
証券会社やFXの口座についても、基本的には現金の引き出しなどに取引パスワードが必要なため、現金の移動は不可能です。ただし、登録情報などが閲覧される可能性はあります。

証券会社などのリスク:登録情報などが閲覧される、口座残高が見える

リスクの話のまとめ
どの口座の場合にも言えることですが、登録情報の閲覧は可能な場合があり、不正に取得されたIDとパスワードでログインされた場合、住所氏名や年齢、勤務先などの情報が流出する可能性があります。この際、サイトによっては今までログインしたことのないPC等の場合は別要素で認証をかける場合があります。

こういったサイトはお金を扱うサイトのため、資金の移動、証券の購入、登録情報の閲覧、変更には別要素認証が必要な場合が多く、勝手にお金をどうこうされる危険というのは、家計簿サイトを使わない時よりはリスクが上がりますが、家計簿サイトがハッキングされたら即金が無くなるかと言われるとそうではない、ということです。逆にもし、金を振り込めるだけの情報を登録させられそうになったら、それはあなたの判断で止めないといけません。さすがにそれはナンセンスです。

メリットの話
メリットについては、何に金を使ったか、自分が今どれぐらいの資産があるか、というのが自動的にわかることです。例えば、投信に投資をしている人、株を持っている人は日々資産が変動するわけですが、その変動する資産をバッチで取り込んでくれるので自分がどれ位お金を持っているのかがわかりやすいです。そして、カード履歴を見れるので、何に金を使っているのかが可視化されます。正直かなり便利です。また、個人事業主の方などで確定申告を自分でする人は楽なんじゃないかと思います。

ここまで読むと、少し安心したって人と、マジでそんなサービス使わねぇって人に分かれてくるんじゃないでしょうか。また、たったそれだけのメリットなら使わなくていいやって思った人もいるはずです。自分的にはこういった家計簿サイトは結構便利だと思いますが、リスクもかなりありますね。少なくとも、ドーンと漏洩した時に、すぐ各サイトのIDとパスワードを変更できるぐらい機動力と覚悟のある人が使う感じ何じゃないかと思います。

スポンサードリンク
 
シェアする