山下寛人オフィシャルブログ

オイシックス株式会社 執行役員 システム本部長 山下寛人の公式ブログです。

家計簿アプリのセキュリティ

ちょっと話題になっていますね。私はマネーフォワード推しなので少しコメントしておきたいと思います。www.j-cast.com
元ネタはこちらだと思われます。twinavi.jp

使わないに比べたらリスクは高くなります、当然。でも一切リスクが許容できなかったら何もできなくなるので。銀行だって暗証番号漏洩するかもしれないですし倒産したら預金なくなるかもしれないですし。現実にネットバンキングはパスワード盗まれて不正出金の被害も発生しています。リスクとメリットを天秤にかけて考える必要があります。

実際リスクはどの程度上がるのか考えてみましょう。
不正アクセスで漏洩。ベンチャーだけに大企業より甘くなっている可能性あり。
・内部犯行。
・パスワードは多分平文で保存されているので漏洩したときは悪用しやすくなっている。
・フィッシングにひっかかりやすくなるかもしれない。

UFJ銀行の場合でいうとまずIDパスワード漏洩してもリスクベース認証になっているので多分ログインできません。それを突破してもログインのログが残ります。振り込みは乱数表がないとできないので不正な出金はできません。仮にできたとしてもメールが来るので気づけます。

フィッシングにひっかかりやすくなるのはあるかもしれません。私はよく知っているからいいですが普通の人にはあまりこういう習慣はよくないでしょう。

今後もwebスクレイピングでずっとやっていくのはあまりよろしくはないでしょう。金融機関側にOAuthに対応したAPIを用意してもらって連携できるようにしたいところです。それでリスクなくなるかというとそうではないですがだいぶよくはなると思います。