ソニー銀行からトークンが届いていたので、これの設定をする。サイトにログインして取引用暗証番号(5桁)、キャッシュカード製造番号(10桁)から2箇所、トークンのシリアル番号(10桁)と、トークンに表示される番号(6桁）を入力する。すると最後に「合い言葉」が表示されるので、これを入力して登録完了。やっと、ソニー銀行がまともなセキュリティーレベルで使えるようになった。

ソニー銀行は、2001年サービス開始と後発だったのに、先行のインターネットバンキングと違って乱数表を配らなかった。ソニー銀行は「合言葉」とか、「Cookieを利用した利用パソコンの登録」などという、怪しいセキュリティーをそのまま利用し、小手先の改善でお茶を濁してきた。

私が三和銀行のインターネットバンキングを契約したのは2000年の10月頃であるが、その時点で乱数表が最初からついていた。東京三菱ダイレクトは2003年8月に契約したが、プラスチックの乱数表カードが最初からついていた。

2000年台の前半、インターネットバンキングで怪しいところが多かったのは、高木浩光氏などが2005年頃に細かく指摘をしている。
同時期にはインターネットバンキングの被害の発生(まず神話を作り、次に神話は崩壊した！と叫ぶマスコミ)などもあった。

これを受け、多くの銀行ではアドレスバーを隠さないなどのブラウザ側の対策を行ったり、乱数表かワンタイムパスワードを導入している。新生銀行も、セキュリティーカードを2007年5月に導入している。

ところが、ソニー銀行は対応らしい対応をやってこなかった。乱数表を配るぐらい、さほど難しいことではないと思うのだが、これが無いので認証手段がパスワード系しかなかったのである。これが尾をひいていて、ここ1年ほど以下のような対応をしてきていた。

• 2011年7月19日　一定の条件で振込限度額を0円に(7/29廃止)
• 2011年7月29日　振込み時にキャッシュカード製造番号から任意の位置の数字を入力する取り扱い開始
• 2012年7月9日　ワンタイムパスワード認証開始

今回、ようやくやっと安心できる対策が採られたわけで、さっそく導入してみた。といっても、7/9に取り扱いを開始しているのに、メール等でのアナウンスがまったくなく、サイトをみていてたまたま偶然発見したものである。

クロネコメール便で*1送られてきたトークンは、6桁の番号を生成するもの。www.vasco.comと書いてある。三井住友の場合はRSAセキュリティーであるが、105円の月額使用料がかかる。こんなものを無料で配るより、ある程度大きなマトリックスの乱数表を全員に配る方がよっぽど良いのではないかと思うが、そこは銀行側の判断だろう。