IPv6 IPoE + DS-Lite 化したら楽天銀行のネットバンキングが不便になった

先日、自宅のインターネット接続を IPv6 IPoE 化しました。
この IPv6 IPoE 接続の上で、DS-Lite という方式を用いて IPv4 インターネットに接続しています。

DS-Lite 方式では、多数のユーザで共用のグローバル IPv4 アドレスが動的に割り当てられて、IPv4 インターネットに接続できます。
そのため、今のところ数時間ごとにグローバル IPv4 アドレスが変わっています。

自分のグローバル IPv4 アドレスが変わっても通常のインターネット利用には基本的には問題がなく、むしろ変わってくれたほうがプライバシーの観点でありがたいと考えています。
ただ、不便になったことも少なからずあり、特に楽天銀行のインターネットバンキングの利用が不便になりました。


楽天銀行ではセキュリティ強化のため、ログイン時にはユーザIDとパスワードによる認証だけでなく、登録したメールアドレス宛てに送られてくるワンタイムキーを用いた認証も行うよう、オプションと設定できます。

しかし、楽天銀行は Gmail のメールアドレスはセキュアではないと考えているようで、ワンタイムキーによる認証は利用できず、代替としてセキュリティカードによる認証が求められます。

ログインのたびに、厳重に保管しているセキュリティカードを取り出して確認しながら入力するのは手間が大きいため、ログイン制限のオプションを無効にしていました。

また、楽天銀行ではリスクベースによるセキュリティ対策も行われており、ログイン制限のオプションが無効の場合、これまでと異なる IP アドレスからのログイン時には追加の合言葉認証が要求されます。

これまでもルーターの再起動時には IP アドレスが変わることで合言葉認証が求められていましたが、今回 DS-Lite 方式による接続に変更したことで、毎日ログイン時には合言葉認証が求められるようになりました。
合言葉認証では「合言葉」だけでなく「支店番号」と「口座番号」の入力も必要となるため、これも手間が大きいです。

セキュリティカード認証と合言葉認証のどちらかを受け入れざるを得ず、手間のかかる不便な状況になったことは、DS-Lite 方式の IPv4 インターネット接続に切り替えたことによる弊害と言えます。


こういった利用者の不便さは、楽天銀行のセキュリティポリシーの見直しやシステムの改良によって改善されるべきものと考えています。

例えば、次のようにすれば改善できるのではないでしょうか。

  • 楽天銀行のインターネットバンキングのシステムが IPv6 にも対応し、利用者の IPv6 アドレスの /64 プレフィックスが過去のログイン時のものと同一であればリスクが低いものとみなす。

    • システムの入口のロードバランサだけデュアルスタックにすれば、システム全体のネットワークの変更は不要のはず。
    • IPv6 PPPoE 接続の利用者も考慮して、リスクベースの判定で用いるプレフィックス長を利用者が選択できるようにするのも良い。
  • Gmail などのメールアドレスでもワンタイムキーによる認証を利用できるようにする。

    • 現在は、Google アカウントや Microsoft アカウントのセキュリティ対策はかなり厳しく行われている。
    • トークン生成器を用いた認証や SMS 認証でも良い。
  • セキュリティポリシーを見直し、システム上のリスクのある箇所で厳しいポリシーを適用する。

    • 他社のように、ログイン時は緩めにして、取引時のみ厳しくする、というのもあり。

ただまぁ、楽天銀行のインターネットバンキングは、総合的に見て他社のものより圧倒的に便利ではあると思います。