セキュリティ

合言葉の導入

インターネットバンキングリニューアルに伴い、セキュリティ強化のため、合言葉による本人確認方法を追加します。万が一、「契約者番号」「暗証番号」が第三者に盗取された場合でも、日常的に利用していない端末から操作があった場合、合言葉による追加の本人確認が発生するため、「なりすまし」による不正利用を防ぐことができます。

合言葉の設定
ログイン時に、ご利用端末の情報から本人確認を行なっています。日常的にご利用いただいている端末ではないとシステムが判断した場合は、「契約者番号」「暗証番号」に加えて、表示される質問に対する「合言葉」を登録いただくものです。

ワンタイムパスワード

さらなるセキュリティ強化に向けたワンタイムパスワードのご利用必須化について

インターネットバンキングをより安全にご利用いただくため、2020年2月17日よりワンタイムパスワードが必要となるお取引の範囲を拡大しました。
以下のお取引をご利用になるお客さまにつきましては、ワンタイムパスワードのお申込みをお願いいたします。

  • 以下のお取引をご利用でないお客さまは、ワンタイムパスワードのお申し込みは不要です。また、テレホンバンキングのみをご利用のお客さまにつきましてはワンタイムパスワードのお申し込みは不要です。
ご注意ください

ワンタイムパスワードが必要となるお取引

  • 振込・振替
  • 振込・振替限度額の変更(増額・減額)
  • 定期預金の中途解約
  • 住所・連絡先の変更

ワンタイムパスワードとは

一定時間ごとに変化する使い捨てのパスワードです。
パスワードは1分ごとに更新され、1度使用したパスワードはその時点で使用できなくなることから、 万一スパイウェアやファイル交換ソフトによりパスワードが盗まれたとしても、次の取引では異なるパスワードが必要となるため、 不正防止に有効な対策となります。

ワンタイムパスワードのご利用にはトークン(ワンタイムパスワードの生成機)の申込が必要となります。
くわしくは、以下よりご確認ください。

「ソフトトークン」とは

  • 一定時間ごとに変化する使い捨てのパスワード(ワンタイムパスワード)を生成・表示するパスワード生成ソフトのことで、スマートフォンまたは携帯電話にダウンロードし使用します。

ソフトトークンをお申し込みいただくときの注意事項

スマートフォン向けソフトトークン
Secure Starterアプリのダウンロードが必要です。ダウンロード後、 商工中金ダイレクトにログインし、スマートフォン向けソフトトークンの利用申込を行います。
下記は、ソフトトークン取得後のスマートフォン画面のイメージです。
  • パソコン・携帯電話からはお申し込みいただけませんのでご注意ください。
App Storeからダウンロード
Google Playで手に入れよう
 
 

ソフトトークンの利用申込について

ソフトトークンのご利用方法の詳細は下記をご確認ください。

  • ソフトトークンはスマートフォンや携帯電話のアプリ機能を利用してワンタイムパスワードを作成し表示します(スマートフォンや携帯電話の時計機能を利用するため、日本国外でのご利用はできません)。
  • ソフトトークンは携帯電話、スマートフォンの専用アプリであり、パソコンやタブレット端末および iPod touch などにはダウンロードできませんのでご注意願います。
  • ソフトトークンはスマートフォンや携帯電話1台につき1件のみ登録可能です。
  • スマートフォンを中心にご利用なさる方はスマートフォン専用SecureStarterアプリをご利用されると便利です。
  • ソフトトークンは無料でご利用いただけます。ただしアプリのダウンロードにはパケット料金が発生します。

Q&A

Q1
スマートフォン専用SecureStarterアプリを削除してしまい、ワンタイムパスワードが表示できない。
A1

SecureStarterアプリを削除(アンインストール)してもソフトトークンの利用を解約することにはなりません。

アプリを削除(アンインストール)すると、ソフトトークンが必要なお取引ができなくなります。
この場合、契約者用フリーダイヤルへご連絡いただき、ソフトトークン解約を行った後、再度、お客さまにご自身でソフトトークンのご利用開始操作を行っていただくことで利用を再開できます。
また、書面による解約手続きをご希望の場合は、「商工中金ダイレクト ロック解除・取引パスワードの初期化等依頼書」及び本人確認書類のコピーをダイレクトバンキングセンターへご郵送いただきますようお願いいたします。

Q2
ソフトトークンとして利用している端末を機種変更する場合に必要な操作は?
A2

ソフトトークンとして利用中の端末を機種変更する場合は、旧端末のアプリを無効にする「ソフトトークン解約」の操作をスマートフォンの画面からお客さまご自身で行ってから、新しい端末に再度アプリのダウンロードを行ってください。
この手順を行わず、機種変更を行った場合はソフトトークンが必要な取引ができなくなります。この場合、契約者用フリーダイヤルへご連絡いただき、ソフトトークン解約を行った後、再度、お客さまご自身でソフトトークンの利用開始操作を行っていただくことで利用を再開できます。
また、書面による解約手続きをご希望の場合は、「商工中金ダイレクト ロック解除・取引パスワード初期化等依頼書」及び本人確認書類のコピーををダイレクトバンキングセンターへご郵送いただきますようお願いいたします。

「ハードトークン」とは

  • 一定時間ごとに変化する使い捨てのパスワード(ワンタイムパスワード)を生成・表示する専用の端末です。

ハードトークンをお申込みいただくときの注意事項
商工中金ダイレクトの契約が完了していることが必要です。
商工中金ダイレクトにログインし、利用申込み画面からハードトークンの利用申込みを行ってください。

  • 携帯電話からはお申込みいただけませんのでご注意ください。

ハードトークンのご利用について

ハードトークンのご利用方法の詳細は下記をご確認ください。

  • ハードトークンは小型の端末です。紛失・盗難等にご注意ください。なお、紛失等による再発行につきましては、所定の手数料が発生します。
  • ハードトークンは最長5年で有効期限を迎えます。有効期限が近づくとEメールなどでお知らせしますので、切替え手続きを行ってください。
  • ソフトトークンをご利用のお客さまはハードトークンをご利用いただけません。ハードトークンをご利用いただくためには、ソフトトークンを解約していただき、別途ハードトークンのお申込みをお願いいたします。

Q&A

Q1
ハードトークンは、どのようなときに使用するのですか。
A1

インターネットバンキングの振込・振替取引や定期預金中途解約取引時等にご利用いただきます。取引の認証画面において、ハードトークンに表示されるワンタイムパスワードを入力していただきます。

Q2
ハードトークンには有効期限がありますか?
A2

ハードトークンの有効期限は最長で5年です。ハードトークンの有効期限はハードトークンの裏面に印字されています。有効期限が経過したハードトークンは使用できなくなります。なお、有効期限が近づくと(90日前)Eメールやインターネットバンキングの画面でお知らせしますので、有効期限到来までに新しいハードトークンへの切り替え手続を行ってください。

Q3
申込みからどのくらいで利用できますか?
A3

ハードトークンのお申込み後、1~2週間程度で届出住所に郵送されます。お手元にハードトークンが届きましたら、インターネットバンキングにログインのうえ、ハードトークンの利用登録をお願いいたします。 利用登録完了後にワンタイムパスワードをご利用いただけます。

Q4
ハードトークンを紛失してしまった場合や、故障した場合にはどうすればよいでしょうか。
A4

ハードトークン紛失または故障した場合には、商工中金ダイレクトバンキングセンターまたはお取引店までご連絡ください。再発行手続きをご案内いたします。なお、再発行につきましては別途再発行手数料をいただきますので、あらかじめご了承ください。

最新の暗号化技術

SSL256ビット(Secure Socket Layer)の暗号化技術を採用し、お客さまのパソコンと当金庫のサーバー間の通信を暗号化して高いレベルの安全性を確保しております。

複数の情報から本人確認を実施

お取引の際には、契約者番号(または店番号+口座番号)、暗証番号、確認番号、取引パスワード、合言葉を使用してご利用されるお客さまの本人確認を行っております。

  • 初回ログイン時に使用する暗証番号は、当初、お客さまが商工中金ダイレクト申込書などにご記入いただいた4桁の数字です。2回目以降のログイン時に使用する暗証番号は、初回ログイン時にお客さまご自身で変更していただく6~12桁の半角英数字です(お客さまご自身の機器操作でご変更できます)。
  • 取引パスワードは、お客さまがインターネットバンキングで初回ログイン時にご登録いただく6~12桁の半角英数字です(お客さまご自身の機器操作でご変更できます)。
  • 合言葉は、お客さまがインターネットバンキングリニューアル後初めてログインする時に、ご登録いただきます。

前回ご利用日時の表示

インターネットバンキングにログインした時の画面に、直近のログイン日時を表示しますので、第三者による不正アクセスのチェックが可能です。

ログインの際には、毎回確認することをおすすめします。

お取引結果の通知

お振込や定期預金のお預け入れなどの予約受付時や実行時、Eメールアドレス変更時には、Eメール通知をおこないますので、Eメールアドレス・追加Eメールアドレスは必ず最新のEメールアドレスをご登録ください。

ソフトウェアキーボード

キーボード操作から情報を不正に盗み取るスパイウェア対策として、画面キーボードを導入しています。

スパイウェアに対するセキュリティ対策として、暗証番号や確認番号などの入力をパソコンの画面上に表示するボタンをマウスでクリックすることにより入力していただく機能です。キーボードの操作履歴がパソコンに残らないため、パソコンのキーボード情報を盗み、インターネット経由で第三者に送信するキーロガー型のスパイウェアに対し有効です。

暗証番号などの誤入力によるロック

インターネットバンキングで暗証番号や確認番号、取引パスワード、合言葉を一定回数以上誤って入力するとロックがかかりご利用できなくなります。

  • テレホンバンキングにおいて、暗証番号などを一定回数以上続けて誤入力した場合は契約が解約されますのでご注意ください。

自動タイムアウト(自動ログアウト)機能

インターネットバンキングにログインしたまま離席した場合など、一定時間操作がなかった場合には、自動的にログアウトし、お取引を終了させていただきます。これにより、第三者の不正利用を防ぐよう配慮しています。

振込限度額の設定

1日に振込、振替を行える金額は合計500万円以内です。

  • 「振込・振替限度額の変更」にはワンタイムパスワードのご利用が必要になります。
  • ワンタイムパスワードをご利用の場合に限り、上限を1,000万円まで引き上げが可能となります。
  • 書面による振込限度額の変更も可能です。詳しくはこちら

フィッシング対策

フィッシング詐欺対策 1 「PhishWallプレミアム」(セキュアブレイン社)

不正送金・フィッシング対策ソフト「PhishWallプレミアム」(セキュアブレイン社)を無償提供いたしますので、ダウンロードしてご利用ください。

商工中金のホームページやインターネットバンキングは、不正送金・フィッシング対策ソフト「Phish Wall(フィッシュウォール)プレミアム」に対応しています。

フィッシング詐欺とは

金融機関を装った電子メールによって金融機関とは全く関係のない偽りのサイトに誘導し、お客さまの口座番号や暗証番号などを入力させ、不正に情報を入手しようとする犯罪行為がフィッシング(Phishing)詐欺です。

  • 商工中金では、このように電子メール等を使ってお客さまの暗証番号等を照会するようなことは一切ありません。暗証番号や口座番号等の重要な情報をこのような偽りのサイトに入力したり、電子メールでご返送することのないよう、ご注意ください。

MITB(マン・イン・ザ・ブラウザ)攻撃とは

「MITB攻撃」とは、パソコンに侵入したウィルスがインターネットバンキングにアクセスした際に通信を乗っ取り、偽のポップアップ画面を利用者に表示し、暗証番号等を詐取することで、不正送金を可能とさせる攻撃のことです。

フィッシュウォールプレミアムとは

「PhishWall(フィッシュウォール)プレミアム」とは、株式会社セキュアブレインの提供する不正送金・フィッシング対策ソフトです。ホームページやインターネットバンキングを利用されるお客さまを不正送金の被害(MITB攻撃)やフィッシングから守ります。
「PhishWallクライアント」をダウンロード(無料)してお客さまのパソコンにインストールいただくことで「PhishWallプレミアム」が利用できるようになります。

通知領域・ポップアップに表示されるPhishWallのアイコンの色と、ダイアログで表示されるメッセージによってユーザに通知します。

PhishWall(フィッシュウォール)

お客さまのパソコンがMITB攻撃型ウィルスに感染していないかをチェックし、感染の兆候を発見した場合は、警告メッセージを表示して不正な画面への入力を防ぎます。

また、ウィルスを無効化する機能が搭載されており、万が一、MITB攻撃型ウィルスに感染している場合でもウィルスを無効化することで、MITB攻撃を受ける危険な状態を回避することができます。

  • この状態は一時的な対応であり、その時点ではウィルスが完全に除去されているわけではありません。無効化した後にウィルス対策ソフトなどを使用してウィルスを除去していただく必要があります。
  • またPhishWallプレミアムについても、最新のバージョンかどうか確認し、常に最新のバージョンをご利用ください。

PhishWallプレミアムのMITB攻撃検知・無効化画面

製品の詳細とインストールはこちらから

PhishWall フィッシング詐欺にあわない為に 無料です。インストールはこちらから!
  • (株)セキュアブレインのホームページに移動します。
    「PhishWallクライアント」をダウンロード(無料)してお客さまのパソコンにインストールしていただくことで、「PhishWallプレミアム」が利用できるようになります。

本ソフトは、全てのお客さまが無料でご利用いただけますが、お客さまがお使いのパソコン環境によってはご利用いただけない場合がございますので予めご了承ください。(ご利用に際しては下記事項を必ずご確認のうえご利用ください)

フィッシュウォールご利用環境

フィッシュウォールに関するお問い合わせ
セキュアブレイン テクニカルサポートセンター
フリーダイヤル
受付時間
9:00~12:00 13:00~18:00
(土日祝祭日・年末年始(12/29~1/4)を除く)

フィッシング詐欺対策 2 EV SSL証明書

「EV SSL証明書」を導入しています。

フィッシング詐欺対策 3 電子署名の付与

「キャンペーンのお知らせ」などの電子メールによる各種ご案内の配信については、電子署名を付与しております。

  • インターネットバンキングのお取引結果の通知メールには、電子署名をつけておりません。

安心セキュリティガイド

商工中金ウェブサイトのセキュリティ対策を、わかりやすくまとめた「安心セキュリティガイド」をご用意しております。是非、ご覧ください。

電子署名付電子メール(S/MIME)

当金庫が発信する電子メールのうち、キャンペーンなどの各種ご案内を配信する場合(アドレス schukininfo@ib.shokochukin.co.jp)に、電子署名を付与してお送りすることにしております。※1

当金庫がお届けする電子署名付き電子メールでは、S/MIME ※2 という規格で送信しております。
S/MIMEとは、電子メールシステム上で高度な認証や暗号化通信を行う規格であり、PKI(公開鍵暗号基盤)を活用しています。S/MIMEを使った電子署名付き電子メールにおいては、送信側は、メール本文と電子証明書に電子署名を付加し、添付ファイルにしてメールを送信します。

電子署名をつけることにより、

  1. 1.電子メールの送信者が商工中金であること
  2. 2.電子メールが途中で改ざんされていないこと

をご確認いただけるようになり、電子メールを悪用したフィッシング詐欺対策として、電子メールの発信者を確認する際の有効な手段になります。
フィッシング詐欺については「ご利用上の留意事項」をご参照下さい。

  1. ※1以下の電子メールにつきましては、電子署名を付けておりません。
    • 当金庫職員名で発信している電子メール
      →職員名を騙った不審なメールが届きましたら、当金庫宛にご連絡下さい。
    • 携帯電話向けの電子メール
      →電子署名に対応した携帯電話会社・機種がありませんので従来どおり電子署名を付けずに配信いたします。
    • 商工中金ダイレクト(インターネットバンキングのお取引結果の通知メール
      (商工中金ダイレクトお取引結果 アドレス schukin@direct.shokochukin.co.jp)
  2. ※2S/MIME:Secure Miltipurpose Internet Mail Extensions 電子メール暗号化技術の標準

インターネット上の文書の作成者が確かにその人本人であることを確認する手段として用いられます。紙の文書に例えるとサインや印鑑に相当します。

また、電子署名をする際に、誰が署名したかを確認する手段として、インターネット版の身分証明書である電子証明書を用います。紙の文書に例えると印鑑証明書に相当します。電子証明書は、認証局と呼ばれる第三者機関が発行します。当金庫は、この第三者機関としてベリサイン社※から電子証明書を取得しております。

  • ベリサイン社とは、ウェブサイトの実在性を証明するサーバ証明書発行サービスなど、情報セキュリティ全般にわたるサービスを提供しており、各メール受信用ソフトにおいても信頼される電子証明書の発行先として、認知されています。
  1. 1.電子メールに商工中金の電子証明書と電子署名を付ける。
  2. 2.商工中金よりお客さまに電子メールを送信する。
  3. 3.お客さまのパソコンでメールを受信する。
  4. 4.電子署名によってメール本文と証明書が改ざんされていないことをご確認いただく。
    • 赤いリボンマークをクリックし、デジタル署名者が「schukininfo@ib.shokochukin.co.jp」となっていること。
    • メールを受信した際にセキュリティ警告が出ないこと。
  5. 5.証明書が信頼できる機関から発行されていることをご確認いただく。
    • 発行先が「The Shoko Chukin Bank,Ltd」となっていること。
    • 電子証明書の発行者が『DigiCert SHA2 Assured ID CA-G1』となっていること。
    • 有効期限内であること

    ※ご注意

    • お客さまがご利用しているパソコンのメール受信用ソフトがS/MIMEに対応しているものが必要になります。
    • S/MIMEに対応していないパソコンのメールソフトをご利用の場合、メール本文は表示されますが、「smime.p7s」という添付ファイルが添付されます。
    • お客さまがご利用しているパソコンのメールソフトの設定によっては、「メールが受信できない」「メール本文が表示されない」ケースもございます。あらかじめご了承ください。