高木浩光＠自宅の日記

■ セキュリティに関わる解説を素人に書かせる銀行たち

三井住友銀行が先月から、「電子メールお知らせサービス」なるものを始めていた。

• 三井住友銀行、口座の入出金をメールで知らせるサービスを提供開始, INTERNET Watch, 2004年7月9日

  三井住友銀行は9日、同行のダイレクトバンキングサービス「One'sダイレクト」利用者向けに、「電子メールお知らせサービス」を8月23日より提供開始すると発表した。利用料金は、月額105円。

  電子メールお知らせサービスは、One'sダイレクト契約者に対して、振込の入金や口座の引き落としをメールで知らせるサービス。（略） 同行によると、公共料金やクレジットカードなどの口座引落しを事前に知らせるサービスは、邦銀初の試みだという。

フィッシング詐欺に注意が呼びかけられている真っ只中のこのご時世に、そんな紛らわしいサービスを始めるとは、いやはや、どういう神経をしているのだろうか。

一般に「初の試み」などというものは、アイデアが斬新というわけでなしに、単に「やってはいけないことだから誰もそれまでやっていなかった」というオチである可能性がある。

三井住友銀行のこのサービスの解説ページに、どんなメールで通知が来るのか、「電子メールのサンプル」が掲示されている。こんな感じだ。

どうだろうかこの文面。フィッシングの詐欺メールと区別できるだろうか。

あるいは、口座引落し予告のメールの方はどうだろうか。

知らないところから引き落とすと書かれていたら、どうだろうか。慌ててログインしようとして、偽メール、偽サイトでないかの確認をうっかり怠ってしまいやしないだろうか。

銀行がメールを送ってくるというのは、これまで、自分が操作したタイミングでという場合がほとんどだった*1。少なくとも三井住友銀行では、メールで何かが送られてくることはなかった。だから、三井住友銀行を名乗り、ログインを促すメールがきたら、「あれ？」と思うことができた。これまでは。

こういう通知サービスが常態化していくと、人々はフィッシング詐欺に騙されやすくなっていくだろう。

そもそも、電子メールなどという信用性ゼロのメディアを使って、こういう連絡をしてはいけない。こういうサービスが必要なら、これまでに書いたように、メールに電子署名をするべきである。

• 事業者が今すぐできるフィッシング詐欺対策, 2004年8月7日
• フィッシング詐欺防止のためMUAのS/MIMEユーザインターフェイスの改良を, 2004年8月29日
• 続・MUAのS/MIMEユーザインターフェイスの改良案, 2004年8月31日

三井住友銀行の説明には電子署名の解説はないので、署名なしなのだろう。それどころか、メールのサンプルの説明には、どのメールアドレスから送られてくるかの説明すらない。素人が書いているのか。

ちなみに、みずほ銀行では、きちんとこういう説明がなされている。

「みずほ銀行」の名前をかたり、「口座パスワード確認」という件名でインターネットバンキングのパスワードを知らせる内容の迷惑メールが送信されている事実を確認しております。 （略）

当行においては、フィッシング詐欺の事実は確認されておりませんが、当行のホームページURLや、当行からお送りする電子メールの主な送信元アドレス（差出人、From）は以下のとおりです。（略）

当行の主なホームページURL・電子メール送信元アドレスはこちら

「みずほ銀行」の名 前をかたった迷惑メール・詐欺メールについて, みずほ銀行, 2004年9月7日

さすが、既に事件が起きたところは説明をしている。

三井住友銀行の「電子メールお知らせサービス」の「よくある質問」ページには、「Q12：電子メールお知らせサービスを利用する上で注意しなければならないことはありますか？」という項目があるが、次のことが書かれているだけで、フィッシング詐欺への注意は書かれていない。

A12： 以下の注意点をご理解いただいた上でご利用ください。

• インターネット等の通信手段の特性により、電子メールに遅延が発生した場合、また、インターネット経路上で消失・二重送信が（略）
• 口座引落しの事前お知らせにおいて、引落日当日、残高不足・預金取引停止等の理由により引落しができなかった場合（略）
• 振込入金のお知らせにおいて、振込依頼人から振込の「取消」「変更」「組戻し」があった場合（略）

Q12：電子メールお知らせサービスを利用する上で注意しなければならないことはありますか？, 三井住友銀行

かと思えば、その一方で、インターネットバンキング全体のQ & Aの方に、次の注意書きがある。おそらく別々の人によって書かれたのだろう。

• Q4：最近、よく偽サイトの話を耳にするので心配です。今利用しようとしているOne'sダイレクトが本物のサイトであることを確認するためにはどうしたらよいですか?, 三井住友銀行, インターネットバンキング Q & A セキュリティ

ところが、ここには間違ったことが書かれている。

A4： One'sダイレクトのログイン画面で、ブラウザのアドレスバーに表示されているURLのサーバ名をご確認ください。

One'sダイレクトのサーバ名(赤文字部分)は以下の3通りあります。

（略）

(1)ブラウザのアドレスバーで直接確認する。

ここまではよい。その次はこうなっている。

(2)サーバの証明書で確認する。

それはサーバ証明書ではない。クリックせよという「トラストマーク」はログイン画面にあるが、このマークは、単に以下のURLへのリンクになっているだけだ。どこからでもリンクできる。

https://digitalid.verisign.com/vsj/7a8b412e80baafb4cf2d10988a2da06e

マークのクリック先に書かれたサーバ名と、ログイン画面のアドレスバーのサーバ名が一致しているだけでは、本物の証明にはならない。サーバ名が「上記サーバ名」と一致することを（記憶を頼りに）確認するのであれば、アドレスバーだけ見ればよいのだから、マークをクリックする意味がない。マークをクリックする意味があるとしたら、発行先の組織名を見ることだが、それならば、ブラウザの錠アイコンをクリックして確認するべきである。このマークは単なる飾りだ*2。しかも、マークをクリックした先のアドレスバーが「https://digitalid.verisign.com/……」になっていることも確認しないと意味がない。詐欺師が同じ画面を作ることだってできるからだ。

こんないいかげんな解説では、マークをクリックして見さえすれば本物と信じてよいと勘違いする消費者が続出するだろう。

ちなみに、新生銀行は次のように説明している。

• 安全なお取引のために, 新生銀行

  ４．当行ウェブサイトの安全性の確認方法

  個人情報などのご入力の際、以下の方法で当行ウェブサイトの安全性をご確認いただけます。

  • 当該ページのＵＲＬが「ｈｔｔｐｓ://・・・」となっていることをご確認ください。
    （通常、暗号化通信が適用されたページの場合、ＵＲＬがhttpsから始まります。）
  • 当該ページの下にベリサインの鍵マークがあることをご確認ください。この鍵マークをダブルクリックすることにより、ベリサインの証明書をご確認いただくことができます。この証明書は、このウェブサイトの運営主体である当行の実在性を証明し、ウェブサーバーとブラウザー間の通信がＳＳＬ暗号化通信によって保護されていることを証明します。 （略）
  • URLをご確認いただき、当行の公式ホームページであることをご確認ください。
    当行のＵＲＬは以下の通りです。

「ベリサインの鍵マーク」って何だ？

もっとわけがわからないのは、

ＵＲＬが「ｈｔｔｐｓ://・・・」となっていることをご確認ください

というが、新生銀行のログイン画面はアドレスバーを消しているんだけど。

これのどこを確認するんだ？ 解説を書いた人は自分でやってみたんか？ やってみればおかしいと気付くだろうに。

本業の人にチェックさせるくらいのことができないのだろうか。